本章では、ファイアウォール機能の設定方法について説明します。 

Management Console について （—86 ページ） . Management Console への□グイン方法や□グ 

イン後に表示されるトップ画面にあるメニュー項 
目について説明します。 

かんたん設定ウィザード (—89 ページ） . 複雑なファイアウォールの設定をウィザード形式 

で設定できるツールです。設定方法について説明 
します。 


詳細設定メニュー(—110ページ） . 

ルール設定(—111ページ） . 

ユーザ設定 (—2 11ページ） . 

VPN 設定(—238ページ） . 

ログ • アラート設定(—275ベージ） ........ 

情報表示 (—282 ページ） . 

ライセンスの確認と登録 (—292 ページ) 


かんたん設定ウィザードで設定した条件をさらに 
詳細に設定したり、グループやユーザの管理をし 
たりすることができます。詳細設定で設定できる 
項目について説明します。 

かんたん設定ウィザードで設定したルールをさら 
に詳細に設定する方法について説明します。 

ユーザを追加したり、変更したりする方法につい 
て説明します。 

VPN パスの設定について説明します。 

ファイアウォール機能が出力する□グ • アラート 
ファイルに関連する設定について説明します。 

機器の状態、□グ • アラート情報の表示について 
説明します。 

ファイアウォールのライセンス管理と登録方法に 
ついて説明します。 


システムメンテナンス（—295ページ） . Management Console から行える保守機能につ 

いて説明します。 

ユーザ認証(—302ページ） . ユーザ認証の方法とユーザパスワードの変更手順 

について説明します。 
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Management Co 门 solel こ〇し、て 

本章では、設定管理ツール Management Console への接続方法とその画面構成について説明します。 


Management ConsoleCOSic 


管理クライアントのウェブブラウザを使用して、 Express 5800 /SG300 の Management 
Console へ接続します。なお、ウェブブラウザは、 Microsoft Internet Explorer 6.0 SP1 
(日本語版 • Windows 版)以上を使用することを推奨します。 


I p -〇 Management Console には必ず内部ネツトワークの管理クライアントから接続するよう 
にしてください。 

〆 ブラウザが以下のように設定されていることを確認してください。 

P ェッ ^ 7 1 • JavaScript を有効にすること 

• Cookie を受け入れること 

上記のように設定されていないと Management Console が正常に動作しません 0 


1.Web ブラウザを起動し、 URL に Express58 〇〇 /SG3 〇〇の 内側（管理クライアントが設置されてい 
るネットワーク側)のインタフェースの IP アドレスと、初期導入設定ツールで設定したポート番号 
を指定する。 

例） https://192.168.1.126:1 8000/ 


初期導入設定で指定したポート番号 
内部インタフェースの IP アドレス 

接続すると、セキュリティの警告が表示されます。 


2. [はい]をクリックする。 

ネットワークパスワードの入力画面が表 
示されます。 


XJ 

必れ こ©サイトと取り交わす ft 報は、ほかの人から読み取られたり変更されることはあ 
りません。しかし、このサイトのセキュリティ ilB 月番には問題があります。 

^廳?，■織®!織， 

Q このセキュリティ証明害の日付は無効で•寸。 

^セキュリティ i 正明著の名前が無効で•あるか、またはサイト名と一致しませ 


—參 


いいえ(沙| 訝明害©表示( V ) j 


セキュリティの警告画面 
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3. 初期導入設定ツールで設定した管理者ア 
カウント名（ユーザ名）とパスワードを入 
力する。 







パスワードの入力画面 


4. [システム管理者□グイン]をクリックす 

它 ) 〇 

Management G 〇门 sole の卜\ソフ 
示されます。 


Management Console の□グイン画面 


NEuCopyright(C) NEC Corporation 2000-2004 


Management ( onsole 

for System Adinuusfi uror 


ファイアウオ—ル機能の設定方法 




匯匪 
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NEC 

Copyright® NEC 
Corporation 2000-2004 


管理者は Management Console のトップ画面から各メニューを選択して、 Express 5800/ 
SG 300の設定と管理を行います。各メニューを以下に示します。 


m 




^ページが表示されました 


ファイル<£〉編集(£〉表示秘お気に入り⑻ツール®ヘルブ妙 



Management Console for SG 
Ver 1.3.0 


イントラネット 


Management Console のトツプ ®j 面 


基本設定. 


フアイアウオール. 


• ディスク. 
• サービス. 


• パッケージ 


システムの管理 . 


Management Console. 


.ネッ ト ワークインタフェースの アドレスなど、システム 
の基本的な設定を行います。 

.アクセス制御のルール定義など、ファイアウォール機能 
に関する設定と管理を行います。 

..ディスクの一覧表示や使用量などの確認を行います。 

.オプション製品をインストールしている場合に、その才 
プション製品のサービスの起動/停止を行います。 

.インストールされているパッケージの情報の確認と、才 
プション製品のインス I -ールを行います。 

.システムの停止/再起動やシステムの状態の確認、およ 
びシステムログの管理などを行います。 

.Management Console のリモートメンテナンス機能に 
関する設定を行います。 


以降、「ファイアウォール」メニューの設定について詳細に説明します。その他のメニューに 
ついては Management Console のヘルプを参照してください。 


画面上の各ポタンは一度だけクリックしてください。二度以上連続してクリックすると 
正しく画面が遷移しないことがあります。 

ブラウザの戻るポタンやキーボードのショートカットによる戻る機能は使用しないでく 
ださい。 



Management Console® トヅフ画面 
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かんたん設定ウィザード 

Express 5800 /SG300 のファイアウォール機能を利用するには、はじめに「かんたん設定ウィザード」を利 

用して、ネットワーク構成の選択やフィルタリングの設定などを行う必要があります。 

ネットワーク環境が複雑な構成でないときには、このかんたん設定ウィザードに従って設定するだけで、 

ファイアウォール機能を利用することができます。 

かんたん設定ウィザードで設定できる項目を以下に示します。 

設定内容の確認 . すでにかんたん設定ウィザードを使って設定して 

いる場合は、設定内容を表示します。 

ネットワーク構成の選択 .Exp「ess5800/SG 300を導入するネットワーク 

に DMZ を構築するかどうか、ブリッジ機能を使 
ラがどうかを選択します。 

ネットワークインタフェースの選択 .Express 5800 /SG 300のインタフェースの設定 

を行います。 

公開サーバの設定 . 外部ネットワークに公開するサーバ群の IP アドレ 

スやポート番号などの設定を行います。 

外部サービスの利用の設定 . 内部ネットワークから外部ネットワークの各種 

サービスを利用する場合のフィルタリング設定を 
行います。 

不正アクセス対策レベルの設定 . 外部ネットワークからのアクセス制御のレベルを 

設定します。 

ユーザ認証の利用の設定 . ユーザ認証機能についての設定を行います。 

設定内容の確認 . かんたん設定ウィザードで設定した内容を確認し 

ます。 


ファイアゥォ—ル機能の設定方法 
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設定内容の確認 


かんたん設定ウィザードですでに設定を行っている場合、現在の設定状況の確認が行えま 
す。ただしセットアップ直後など、一度もかんたん設定ウィザードを利用したことがない場 
合には、確認画面は表示されずネットワーク構成の選択画面に進みます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウオールメニューの「ルール設 
定」から[かんたん設定]をクリックする。 


設定内容確認画面が表示されます。 


3. 設定内容確認画面から以下の項目を確認 
する。 

• NAT/NAPT によるアドレス変換の設 
定の有無 

Express58 〇〇 /SG3 ◦◦がアドレス変 
換を行うがどうが表示します。 

プリッジ構成の場合は、「プリッジ機 
能を利用する」と表示されます。 

• 不正アクセス対策レベル 

不正アクセス対策レベルを表示しま 
す。 

• ユーザ認証 

ユーザ認証を利用するがどうかを表 
ホし汞す。 

• ネットワーク構成 

ネットワークの構成、外部ネットワークアドレス、内部ネットワークアドレス、 DMZ ネット 
ワークアドレスを図で表示します。 

• 外部ネットワーク上の利用可能サービス 

内部ネットワークがら利用できる外部ネットワーク上のサービスを一覧表示します。 

• 外部ネットワークへ公開するサーバ 

外部ネットワークがら利用できる内部ネットワーク上のサーバと、そのサーバの公開 IP アド 
レス、内部 IP アドレスを一覧表示します。 

4. [再設定]をクリックする。 

ネットワーク構成の選択画面が表示され、ネットワーク構成の選択に進みます。 




状態表示 ログ•アラート表示 



ファイアウォールメニュー画面 


ファイアウオール〉かんたん設定 


現在は、下記のように設定されています。 

■アドレス変換を行う。 

■不正アクセス対策(ペーシック疮行う。 

■ユーザ認証を利一-“一- , 


刑用する。（すべてのネットワークから許可する） 


内部ネットヮ_ク 


«»ット *7~>7T レス 

F - I r I T | ■ 192.168 .20.0/24 

Expr^MOOTSC 為遍 192.168.9.0/24 

(フ.•ィァ T 卜，ぃ 




192.168 .30.0/24 


P エブサービス ( HTTP/HT 
メールサービス ( SNATP ) 

P アイル粒送サービス ( FTP ) 
中ームサービス ( DNS ) — 
P 寺刻同期サービス ( NTP ) 


公開サーバ 公開 IP アドレス内部 IP アドレス 

px フサーバ ( HTTP 〉 1172.16 .1.1 阼 1.1.1:80 

P —ルサーノ \( SWTP ) | T 72.16.1.2 |1 0.10.10.2 

イル転送ザー八 ( FTP )|1 72.16 . f .3 | i 0.10.10.3 

ネームサーメ \( DNS ) 172.16 .1.4 10.10.10.4 


再設定」 

設定内容確認画面 


ファイアゥォ—ル機能の設定方法 
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ネットワーク構成の選択 


ネツトワーク構成の選択では、 Express 5800 /SG30 〇を導入するネツトワークの構成とし 
て、 DMZ を利用するかどうかを選択します。 

ここで、 DMZ を利用する構成を選択した場合は、 Express 5800 /SG300 に接続されたネツ 
トワークは、「外部」、「内部」および 「DMZ」 に分類されます。 DMZ を利用しない構成やブ 
リツジ構成を選択した場合は、「外部」と「内部」に分類されます。 

• 初めてかんたん設定ウイザードを利用するときは、「ファイアウォール」メニユーの 
「ルール設定」から[かんたん設定]をクリックするとネットワーク構成の選択に進みま 
- す。 

• 2回目以降の設定の場合は設定内容の確認画面から[再設定]をクリックすると、ネット 

ワーク構成の選択に進みます。 


ネットワーク構成の選択画面で、 DMZ を 
利用しない場合は 「 DMZ なし」を 、 DMZ 
を利用する場合は 「 DMZ あり」をクリック 


かんたん設定 


ファイ7^オール > かんたん設定 


ファイアウォールを導入するネットワーク播成はどちらですか？ 


する。 

Express 5800 /SG をプ 
リッジとして接続する場合 
は、[プリツジ]をクリック 
する。 


次へ I 



[ヘルプ] 


2. [次へ]をクリックする。 

インタフェース選択画面が表示され、ネットワークインタフェース選択に進みます。 

DMZ とは、外部へ公開するサーバを設置するために独立させたセグメントのことで、日本語で 
は「非武装地帯」と訳されます。この部分に外部に公開するサーバを設置し、ファイアウォール 
でアクセス制御をすることで、安全性を高めることができます。 

たとえば、外部ネットワークから DMZ へのアクセスは許可し、 DMZ から内部ネットワークへの 
アクセスは許可しない、というように設定すれば、万一、 DMZ に設置したサーバが第三者に不 
正侵入されたとしても、内部ネットワークにはアクセスできないため、被害を最小限にとどめ 
ることができます。 
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—スの選択 


ネットワーク構築の選択で 「 DMZ なし」、 「 DMZ あり」を選択した場合は、外部ネットワーク 
のインタフェースを選択します。通常は変更する必要はありません。 「 DMZ あり」を選択し 
た場合は、 DMZ のネットワークインタフェースについても選択します。 

ネットワーク構築の選択で「ブリッジ」を選択した場合は、デフォルトゲートウェイとなる 
ルータの内向けインタフェースを確認します。 


インタフェース選択画面で、外部ネッ 
トワークにつなげるネットワークイン 
タフ ェースを プルダウン メニューより 
選択する。 


ファイアウォー i し〉かんたん設定 




イン幻エースを遘択してください。 
戻る」次へ j 


内■ネットワ•ク 

為‘‘ 


外部ネットワークアドレス 
1192.168 .30. 0/24 




- アドレス変換 (NAT/NAPT) を行う 


インタフェースの選択画面 （DMZ なし） 


プルダウン メニュ ーに表不されるネットワークインタフェースの IP アドレスは、初期導入設定 
ツール、または ManagementConsole の「基本設定」で設定した、ネットワークインタフェース 
のネットワークアドレスが表示されます。 


2.「 DMZ あり」を選択している場合は、 
DMZ につなげるネットワークインタ 
フェースをプルダウンメニューより選択 
する。 


ファイアウォール 〉かんたん設定 


『エースを遘択してください。 
戻る I 次へ J 


内部ネットワーク 


9\m*y トワー^アドレス 


DMZ ネットワークアドレス 
1172.16 .16. 80/28 ^ 




(ファィァ〒; r- ル） 

d DMZ - TTTT - 〇 ^ 

W アドレス変換 (NAT/NAPT) を行う 


インタフェースの選択画面 （DMZ あり） 


3. インタフェース選択画面で「ブリッジ」を 
選択している場合は、デフォルトゲート 
ウェイとなるルータの内向けインタ 
フェースの IP アドレスが正しいが確認す 

公 〇 


ファイアウォール 〉かんたん設定 


ルータ(デフオルトゲートウエイ)の IP アドレスを確認してください • 

戻る I 次へ J 



ルータ（デフォルトゲートウェイ）の IP アドレスが間違っていると、プリッジ機能は正しく動作 
しません。 IP アドレスが正しくない場合は、「基本設定」でデフォルトゲートウェイの IP アドレ 
スを再設定してから、再度かんたん設定を行ってください。 


ファイアゥォ—ル機能の設定方法 
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4. Express 5800 / SG 300上で、外部に公開 
するサ _ バ、内部ネットワークの端末の 
アドレス変換を行う場合には、「アドレス 
変換 （ NAT / NAPT ) を行う」のチェック 
ボックスをチェックする。 


W アドレス変換 ( NAT / NAPT ) を行う 


ファイアウオール 〉かんたん酿 


インタフエースを遘択してくださI、• 

汝 a | 








W アドレス変換 (NAT/NAPT) を行う 


インタフェースの選択画面 (DMZ あり） 


■一 

アドレス変換 (NAT/NAPT) とは、内部のネットワークで利用している IP アドレスが、外部と 
直接通信できないか、または公開したくないものである場合に、ファイアウォール上で IP アド 
レスを変換する機能です。たとえば、内部でプライべ一卜(インターネット上のホストとは直接 
通信できない） IP アドレスを使用している場合に使用します。 

ここで、「アドレス変換 (NAT/NAPT) を行う」をチェックすると、以降のかんたん設定で公開 
するサーバを設定する際に、サーバの持つ内部ネットワーク上の IP アドレスとは別に、外部か 
らアクセスするための公開用の IP アドレスを指定できるようになります。外部からこの公開 IP 
アドレスの公開ポートに対してアクセスが行われた場合、ファイアウォール上で宛先 IP アドレ 
スを内部 IP アドレスに変換します。この機能を NAT と呼びます。 

また同時に、内部から外部に対してアクセスが行われた場合、ファイアウォール上で送信元 IP 
アドレスをファイアウォールの外部(ネットワークインタフェースに 繫 がる） IP アドレスに変換 
します。この機能を NAPT (または IP マスカレード）と呼びます。 

5. [次へ]をクリックする。 

ウェブサーバ公開の設定画面が表示され、ウェブサーバの設定に進みます。 

[戻る]をクリックすると、ネットワーク構成の選択画面に戻ります。 
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<«■ 公開するウェブサーバ (HTTP) はある 



ウェブサーバ公開の設定画面 





公開 IP アドレス 


| i 92.168 .30.1 

:|443 


| i 92.168 .30. 2 

： l 80 I 


: に | 




外部ネットワークに公開するサーバの設定を行います。設定するサーバを以下に示します。 


• ウェブサーバ 


• メールサーバ 
• ファイル転送サーバ 
• ネームサーバ 
• その他のサーバ群 


ウェブサーバの設定 

ウェブサーバの設定では、外部ネットワークに公開するウェブサーバの IP アドレスやポート 
番号などを登録します。 


Hi 


設定するウェブサーバを、不正アクセス対策や詳細設定メニュー(サーバ公開ルール)で設 
定するウェブ専用フィルタ機能(外—内）の対象とする場合、該当のウェブサーバは8〇番 
ポートである必要があります。8〇番ポート以外を使用したウェブサーバはウェブ専用フイ 
ルタ(外—内）の対象になりません。 


外部ネットワークへ公開するウェブサー 

パの有無を選択する。 

• 公開するウェブサーバ (HTTP) はない 
公開するウェブサーバがない場合 
は、このラジオボタンをクリック 
し、手順5に進みます。 

• 公開するウェブサーバ (HTTP) はある 
公開するウェブサーバがある場合 
は、このラジオボタンをクリック 
し、手順2に進みます。 


フアイアウオール > かんたん設定 


外部へ公開する「ウエブサーメ \(HTTP)J はありますか？ 

街>1次へ I 


r 公開するウェブサーバ (HTTP) はない 
夕公開するウェブサーバ (HTTP) はある 



1台目 ||^ ：|8〇^ 


厂 


：p r 


ウェブサーバ公開の設定画面 


2. 「公開 IP アドレス」に公開するウェブサー 
パの IP アドレスを入力し、右端のテキス 
トボックスにポート番号を入力する。 


フアイアウオール 〉かんたん設定 


外部へ公開する「ウェブサーメ WHTTP>J はありますか？ 

BK>J 徽 _ 




C 公開するウヱブサーバ (HTTP) はない 
^公開するウヱブサーバ (HTTP) はある 


公開 サーバの 設定 
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3. ネットワークインタフェースの選択画面 
において、「アドレス変換 (NAT/NAPT) 
を行う」のチェックボックスをチェックし 
た場合は、「内部 IP アドレス」に内部ネッ 
トワーク用の IP アドレスを入力し、右端 
のテキストボックスにポート番号を入力 
する。 


ネットワークインタフェースの選択画 
面において、「アドレス変換 （NAT/ 
NAPT) を行う」のチェックボックスに 
チェックしていなければ、「内部 IP アド 
レス」は表示されません。 


Express58 


5800 /SG 300 の外部イン 


タフ エースの IP アドレスを公開アドレ 
スとして使用することもできますが、 
ポート番号がユーザ認証ウェブ （ 106 
ページ参照)と重複しないよう注意して 
ください。「セキュリティ保護」を 
チェックした場合、ユーザ認証ウェブ 


のデフオルトのポート番号と同じ 443 


香になることに注意してください。 



4. 暗号化して通信を行う HTTPS 通信を利用 
する場合には、「セキュリティで保護」の 
チェックボックスにチェックする。 

• 複数台のウェブサーバを公開する 
場合は、同様に設定を行ってくだ 
さい。 

• かんたん設定ウィザードからは、 
外部に公開するウェブサーバとし 
て3台までしか設定することができ 
ません。もし、4台以上のウェブ 
サーバを設定するときには、「その 
他のザーバ」として設定するか、 
151ページの「サーバ公開ルール」お 
よび113ぺージの「サイト共通ルー 
ル」を参照してルールを追加してく 
ださい。 


かんたん設定 


フアイアウオール > かんたん設定 [ヘルブ] 


外部へ公開する「ウ ：* :ブサー/ \(HTTP)J はありますか？ 

I 次へ| 

C 公開するゥェブサーバ (HTTP) はない 
公開するウェブサーバ (HTTP) はある 



キユリテイで保護 


F 

厂 

厂 


ウェブサーバ公開の設定画面 


5. [次へ]をクリックする。 

メールサーバ公開の設定画面が表示され、メールサーバの設定に進みます。 

[戻る]をクリックすると、インタフエース選択画面に戻ります。 
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メールサーバの設定 


メールサーバの 設定では、外部ネット ワークに 公開する メールサーバの IP アドレスを登録し 
ます0 


外部ネットワークへ公開するメールサー 

パの有無を選択する。 

• 公開するメールサーバ (SMTP) はない 
公開する メール サーバがない場合 
は、このラジオボタンをクリック 
し、手順4に進みます。 

• 公開するメールサーバ (SMTP) はある 
公開する メール サーバがある場合 
は、このラジオボタンをクリック 
し、手順2に進みます。 


フアイアウオール > かんたん設定 


外部へ公開する「メールサーノ WSMTP )」 はありますか？ 

齡 I 讎;|| 

夕公開するメールサーメ始 IVTTP ) はない 
r 公問するメールサーバ ( SMTP ) はある 



^公開するメールサーバ (StVTTP) はない 
r 公開するメールサーバ (StVTTP) はある 


2. 「公開 IP アドレス」に公開するメールサー 
パの IP アドレスを入力する。 


メールサーバ 公開の設定画面 


ファイアウォール > かんたん設定 


外部へ公開する「メールサーメ WSMTPXJ はありますか？ 

勤| 齡 | 

r 公開するメールサーバ ( SMTP ) はない 
公開するメールサーメ VSMTP ) はある 



メールサーバ 公開の設定画面 


3. ネットワークインタフェースの選択画面 
において、「アドレス変換 (NAT/NAPT) 
を行う」のチェックボックスをチェックし 
た場合は、「内部 IP アドレス」に内部ネッ 
トワーク用の IP アドレスを入力する。 


I チェック ] 


ネットワークインタフェースの選択画 
面において、「アドレス変換 （NAT/ 
NAPT) を行う」のチェックボックスに 
チェックしていなければ、「内部 IP アド 
レス」は表示されません。 




フ7イアウオール〉かんたん設定 


外部へ公開する「メールサーノ奴 SMTP 〉」 はありますか？ 

戻る]次へ」 

C 公開するメールサーメ WSN / TTP ) はない 
夕公開する メールサーメ ksivrrp ) は ある 



かんたん設定ウイザードからは、外部に公開するメールサーバとして1台までしか設定すること 
ができません。もし、2台以上のメールサーバを設定するときには、「その他のサーバ」として設 
定するか、151ぺージの「サーバ公開ルール」および113ぺージの「サイト共通ルール」を参照して 
ルールを追加してください。 


ファイアゥォ—ル機能の設定方法 
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4. [次へ]をクリックする。 

ファイル転送サーバ公開の設定画面が表示され、ファイル転送サーバの設定に進みます。 

[戻る]をクリックすると、ウヱブサーバの設定画面に戻ります。 


ファイル 転送 サーバの 設定 

ファイル転送サーバの設定では、外部ネットワークに公開するファイル転送サーバの ip アド 
レスを登録します。 


外部ネットワークへ公開するファイル転 か AJ こん設定 

送サ _ バの有無を選択する。 フ7イアウオール > かんたん雖 


• 公開するファイル転送サーバ (FTP) は 
ない 

公開する ファイル 転送 サーバがない 
場合は、このラジオボタンをクリツ 
クし、手順4に進みます。 

參公開するファイル転送サーバ (FTP) は 
ある 

公開する ファイル 転送 サーバが ある 
場合は、このラジオボタンをクリツ 
クし、手順2に進みます。 


外部へ公開する「ファイル転送サーメ奴 FTP)」 はありますか？ 

热 J 次へ| 

<5-公開するファイル転送サーバ (FTP) はない 



^公開するファイル転送サーバ ( FTP ) はない 
r 公開するファイル転送サーバ ( FTP ) はある 


ファイル転送サーバ公開の設定画面 


2. 「公開 IP アドレス」に公開するファイル転 
送サーバの IP アドレスを入力する。 


かんたん設定 


ファイアウォール > か4/こん設定 [ヘルブ] 


外部へ公開する「ファイル転送サーメ \(FTP)J はありますか？ 

龄|次へ」 

r 公開するフ7イル転送サーバ (FTP) はない 
夕公開するファイル転送サーメミ (FTP) はある 
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かんたん設定 


3. ネットワークインタフ ェースの 選択画面 

において、「アドレス変換 (NAT/NAPT) ファィァゥォ-ル〉か " こん設定 

を行う」のチェックボックスをチェックし 
た場合は、「内部 IP アドレス」に内部ネッ 
トワーク用の IP アドレスを入力する。 


I チェック I 

ネットワークインタフ ェースの 選択画 
面において、「アドレス変換 （NAT/ 

NAPT) を行う」のチェックボックスに 
チェックしていなければ、「内部 IP アド 
レス」は表示されません。 

•:一圆 

かんたん設定ウィザードからは、外部に公開するファイル転送サーバとして1台までしか設定す 
ることができません。もし、2台以上のファイル転送サーバを設定するときには、「その他の 
サーパ」として設定するか、151ぺージの「サーバ公開ルール」および113ぺージの「サイト共通 
ルール」を参照してルールを追加してください。 

4. [次へ]をクリックする。 

ネームサーバ 公開の設定画面が表示され、 ネームサーバの 設定に進みます。 

[戻る]をクリックすると、メールサーバ公開の設定画面に戻ります。 


ネームサーバの 設定 

ネームサーバの 設定では、外部 ネットワークに 公開する ネームサーバの ip アドレスを登録し 
ます。 

1. 外部ネットワークへ公開するネームサー 
パの有無を選択する。 


• 公開する ネームサーバ (DNS) はない 
公開する ネームサーバがない 場合 
は、このラジオボタンをクリック 
し、手順4に進みます。 

• 公開する ネームサーバ (DNS) はある 
公開する ネームサーバが ある場合 
は、このラジオボタンをクリック 
し、手順2に進みます。 


ネームサーバ 公開の設定 画面 


かんたん設定 


フアイアウオール > かんたん設定 [ヘルブ] 


外部へ公開する「ネームサーノ Vdnsxi はありますか？ 

齡1 _ 


^公開するネームサーノ如 NS) はない 
r 公開するネームサーバ (DNS) はある 



外部へ公開する「ファイル転送サーノ 《(FTP〉」 はありますか？ 

戻る』次へ| 

r 公開するファイル転送サーバ (FTP) はない 
<5- 公開するファイル転送サーノ WFTP) はある 



フアイル転送サーバ公開の設定画面 


ファイアゥォ—ル機能の設定方法 
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2. 「公開 IP アドレス」に公開するネームサー 
パの IP アドレスを入力する。 


かんたん設定 


フアイアウオール > かんたん設定 


[へ儿ブ] 


外部へ公開する「ネームサーメ 《(DNSXI はありますか？ 

勤」次へ| 

r 公開するネームサーメ く (DNS) はない 
p 公開するネームサーメ WDNS〉 はある 



公開 IP アドレス 


|192.168 .30.6 


ネームサーバ'公開の設定画面 


3. ネットワークインタフェースの選択画面 
において、「アドレス変換 (NAT/NAPT) 
を行う」のチェックボックスをチェックし 
た場合は、「内部 IP アドレス」に内部ネッ 
トワーク用の IP アドレスを入力する。 


I チェック I 

ネットワークインタフェースの選択画 
面において、「アドレス変換 （NAT/ 
NAPT) を行う」のチェックボックスに 
チェックしていなければ、「内部 IP アド 
レス」は表示されません。 


rETTI 

かんたん設定ウィザードからは、外部に公開するネームサーバとして1台までしか設定すること 
ができません。もし、2台以上のネームサーバを設定するときには、「その他のサーパ」として設 
定するか、151ページの「サーバ公開ルール」および113ページの「サイト共通ルール」を参照して 
ルールを追加してください。 

4. [次へ]をクリックする。 

その他の公開サーバの設定画面が表示され、その他のサーバ群の設定に進みます。 

[戻る]をクリックすると、ファイル転送サーバ公開の設定画面に戻ります。 


かんたん設定 


フ7イア^オール > か A/ こん設定 [ヘルブI 

外部へ公開する「ネームサ ーy ^(DNS)J はありますか？ 

I 次へ| 

r 公開するネームサーバ (DNS) はない 
^公開するネームサーノ如 NS) はある 



ネームサーバ 公開の設定 画面 













































外部ネットワークに公開するその他のサーバ群の設定 

その他のサーバ群の設定では、外部ネットワークに公開するその他のサーバ群の IP アドレス 
やポート番号などを登録します。 


これまで設定してきたウェブサーバ、 
メールサーバ、ファイル転送サーバ、 
ネームサーバ以外で外部ネット ワークへ 
公開するサーバの有無を選択する。 

• その他の公開するサーバはない 
その他の公開するサーバがない場合 
は、このラジオボタンをクリック 
し、手順4に進みます。 

• その他の公開するサーバはある 
その他の公開するサーバがある場合 
は、このラジオボタンをクリック 
し、手順2に進みます。 


ファイアウォール 〉かんたん鮑 


外部へ公開するその他のサ ー/ くはありますか？ 
戻る次へ| 

[«■ その他の公開するサーメ〖はない 
r その他の公開するサーメ くはある 

1 台目丨 —| 



^その他の公開するサーバはない 
r その他の公開するサーバはある 


その他の公開サーバの設定画面 


2. 「公開 IP アドレス」に公開するサーバの IP 
アドレスを入力し、右端のテキストボッ 
クスにポート番号を入力する。 


フアイアウオール > かんたん設定 


外部へ公開するその他のサーメ くはありますか？ 

BK >| 私| 



3. ネットワークインタフェースの選択画面 
において、「アドレス変換 ( NAT / NAPT ) 
を行う」のチェックボックスをチェックし 
た場合は、「内部 IP アドレス」に内部ネッ 
トワーク用の IP アドレスを入力する。 


ネットワークインタフェースの選択 
画面において、「アドレス変換 
( NAT / NAPT ) を行う」のチェック 
ボックスにチェックしていなけれ 
ば、「内部 IP アドレス」は表示されま 
せん。 

Express 5800 / SG 300 の外部イン 
タフェースの IP アドレスを公開アドレ 
スとして使用することもできますが、 
ポート番号がユーザ認証ウェブ （ 106 
ページ参照)と重複しないよう注意して 
ください。 


フアイアウオール > かんたん設定 



外部へ公開するその他のサーメ ^はあし J ますか？ 
齡|次へ| 

r その他の公開するサーバはない 
^その他の公開するサーメ彳はある 


1台目 11192.168 .30.5 

- >^172.16.16.5 

j 2000 

「2 台目 fT 92.168 .30.5 

卜 11172.16 .16.5 

13000 

[3 台目 11192 .168.30.6 

-» |172.1 6.16.6 

14000 

4 台目|「 广1 r 

5台目|| ■卜| ] ~ J 


サーバ公開の設定画面 


ファイアゥォ—ル機能の設定方法 
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•:一 [12 a 

かんたん設定ウィザードからは、外部に公開するその他のサーバ群として5台までしか設定する 
ことができません。もし、6台以上のサーバを設定するときには、151ぺージの「サーバ公開ルー 
ル」および113ページの「サイト共通ルール」を参照してルールを追加してください。 

4. [次へ]をクリックする。 

外部ネットワーク利用サービス選択の画面が表示され、外部ネットワークのサービスの利用の選 
択に進みます。 

[戻る]をクリックすると、ネー厶サーバ公開の設定画面に戻ります。 









外部 サービスの 利用の選択 


内部ネットワークから利用する外部ネットワークのサービスを選択します。選択するサービ 
スを以下に示します。 

• ウェブサービス (HTTP/HTTPS) 

• メールサービス （SMTP) 

• ファイル転送サービス （FTP) 

• ネームサービス （DNS) 

• 時刻同期サービス （NTP) 

1. サービスの利用の有無を選択する。 かんたん設定 


ファイアウォール > か A/ こん!旋 


かんたん設定ウィザードからは、外部 
サービスとして上記に示す5つのサービ 
スまでしか設定することができませ 
ん。もし、これら以外のサービスを利 
用するときには、113ぺージの「サイト 
共通ルール」を参照してルールを追加し 
てください。 


外部ネットワークに公開されている、どのよ％^—ビスを利用しますか？ 

戻る| 法へ J 



外部ネットワーク利用サービス選択の画面 


2. [次へ]をクリックする。 

より強固な不正アクセス対策の設定画面が表示され、不正アクセス対策レベルの設定に進みま 
す。 


•:一圆 

[戻る]をクリックすると、 


その他のサーバ群の設定画面に戻ります。 


ファイアゥォ—ル機能の設定方法 
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不正アクセス対策レベルの設定 


不正アクセス対策のレベルを設定します。対策のレベルには以下の3つがあります。 
• ベーシック 
• アドバンス 
• 上記の対策を行わない 


1. 不正アクセス対策レベルを選択する。 


ファイアウォール > かんたん設定 


，クセス対策 L 

也 


i レベルを適択します0 

i 渡 | 



送信元情報を偽ったノぐゲ^卜を破棄します「 
r アドバンス(ペーシックを含む） 



戌上記の対策を行わない(問題がな(ナれば選択しなI、でぐ ifa 、） 


より強固な不正アクセス対策の設定画面 


それぞれの対策について説明します。 

「ベ— シック」 を選択すると以下の不正 アクセス 対策を行います。 


• Ping Sweep 検知 

Ping Sweep とは、 Ping を利用してネットワーク上で稼動するホストを調べることで、しばし 
ば攻撃を仕掛ける前の事前調査として行われます。 Ping Sweep 検知では悪意を持った第三者 
による Ping Sweep を検知します0 


• SYN Flood 対策 

SYN Flood とは、攻撃対象のホストに対して SYN バケットを大量に送りつける DoS 攻撃の1つ 
です。 SYN Flood 対策では悪意を持った第三者から SYN Flood 攻撃を受けたとしても、サー 
バリソースの枯渇を防ぐことが可能です。 

• traceroute 対策 

ネットワークの経由情報からファイアウォールの所在を隠すことが可能です。 

• IP Spoofing 対策 

送信元情報を偽ったパケットを破棄することが可能です。 

「アドバンス」を選択すると、「ベーシック」レベルの対策に加えて、次の3つの不正アクセス対策 
を追加します。 

• 通信流入量の制限 

Express5800/SG3 ◦◦では外部ネットワークからの過剰なアクセスを制限することが可能で 
す。この機能では、外部ネットワークから受信するパケット量が上限懷 70Mbps) を超えたと 
き、ファイアウォールを越えての新規の接続要求を拒絶します。これにより、 DoS 攻撃などの 
悪意を持った過負荷となる通信がら内部サーバを保護します。 

バケット量は、宛先や送信元、ポートによらず、受信する全パケットの総量で測ります。パ 
ケット流入量の上限値や、制限を掛けるインタフェースの調整は詳細設定の流入量制限ルール 
がら行ラことができます。 
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• 内部アドレスの隠蔽 

SMTP 通信について、内部ネットワークから外部ネットワークへアクセスする際に内部ネット 
ワークのアドレスを隠蔽します。これにより、内部ネットワークへの不正アクセスを防ぎま 
す。 

この機能では、 IP ヘッダのアドレスのぼか、 HTTP リクエストや SMTP のコマンドとメール 
ヘッダ中に含まれるクライアントの IP アドレスを、 Express58 〇〇 /SG3 〇◦の外部インタ 
フェースの IP アドレスに書き換えることで、内部ネットワークのアドレスを隠します。また、 
公開しているメールサーバが外部ネットワークへ送信する IP ヘッダやサーバ応答、メールへッ 
ダについても、内部ネットワークの IP アドレスを Express58 〇〇 /SG3 ◦◦の IP アドレスに書き 
換えるなど、適切に処理するので、内部ネットワーク上のメールサーバのアドレス隠蔽も可能 
です。 

• 才一トデイフェンス 

ウェブサービス、メールサービスへの不正アクセスに対して応答を偽装することにより、正規 
サーバを不正アクセスから守ることが可能です。 

ウェブやメールのポートへ無作為にアクセスして応答するサーバを探し、不正アクセスを試み 
る不審者に対処する機能です。 

偽装応答に対して続けてアクセスしてきたときや、公開していないサーバのウェブやメールの 
ポートに多数の接続 (12 ◦秒に1000回以上)を要求してきたときは、不審者とみなして、その 
送信元からのすべてのアクセスを1時間禁止します。これにより、公開しているサーバへの攻 
撃を防ぐ可能性を高めます。 

「上記の対策を行わない」のラジオボタンを選択すると、 Express5800/SG300 は上記のいずれの 
対策も行いません。 



• 内部アドレスの隠蔽機能(内部メールサーバのアドレス隠蔽)とオートディフェンス機能の対 
象ポートは、 HTTP (ポート番号80)、 SMTP (ポート番号 25) です。独自のポート番号や 
HTTPS (ポート番号 443) で公開しているサーバは対象外です。 

• 外部ネットワークから接続されるウェブサーバやメールサーバは、公開サーバとして必ず登 
録しておいてください。登録していないと、オートディフェンス機能により偽装応答が返り 
ます。 

• 詳細設定のサイト共通ルール設定とサーバ公開ルール設定の各画面にあるウェブ専用フィル 
夕とメール専用フィルタのチェックポックスのチェックを外すとアドバンスレベルの不正ア 
クセス対策の一部の機能が解除されます。逆に、不正アクセスのアドバンスレベルの選択を 
外すと、詳細設定のウェブ•メール専用フィルタのいくつかのチェックボックスのチェック 
も外れます。 

公開しているウヱブサーバやメールサーバへの過剰アクセスを一時遮断する機能は、詳細設定 

のサーバ公開ルール画面のウヱブ専用フィルタとメール専用フィルタの設定から指定できます。 

2. [次へ]をクリックする。 

ユーザ認証の利用選択画面が表示され、ユーザ認証の利用の有無の設定に進みます。 

[戻る]をクリックすると、外部ネットワーク利用サービス選択の画面に戻ります。 
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ユーザ認証の利用の設定 


外部ネットワークから内部ネットワークに存在する端末にアクセスするときや、内部ネッ 
トワークから外部ネットワークに存在する端末にアクセスするときは、ファイアウォールと 
なる Express 5800 /SG 300を介して通信を行います。このとき、ユーザ認証によりユーザご 
とに使用する通信を許可することができます。ユーザ認証の利用の設定では、ユーザ認証を 
利用するかどうかを設定します。 

■I： ユーザの認証は、「ユーザ設定」で登録するユーザ ID、 パスワードにより認証します。209 

[^ン ]T | ぺージの「ユーザ設定」を参照してください。 

- また、認証を行ったユーザごとに通信の許可を行う場合は、ユーザをユーザグループに所属 

させ、該当ユーザグループのグループルールを設定する必要があります。ユーザグループ設 
定とグループルール設定については、それぞれ229ぺージと136ぺージを参照してくださ 

い。 

I p -〇 リモートアクセス VPN を利用する場合は、「ユーザ認証を利用する」に設定してください。 

認証の受付は「すべてのネットワークから許可する」に設定してください。 


1. ユーザ認証の利用の有無を選択する。 

• ユーザ認証を利用しない 

ユーザ認証を利用しない場合は、こ 
のラジオボタンをクリックし、手順4 
に進みます。 

春ユーザ認証を利用する 

ユーザ認証を利用する場合は、この 
ラジオボタンをクリックし、手順2に 
進みます。 


2. ユーザ認証ウェブのポート番号を指定す 

る。 

デフォルトでは「443」に設定されていま 
す。通常変更する必要はありません。 



r ユーザ認証を利用しない 



^ユーザ認証を利用する 



1 

かんたん設定 


フ7イアウォー J し〉亡、 A / こん設定\ 

[ヘルブ] 

r ]_ 

ユーザ認証を利用しますか？ 

居る j 

ーザ認証を利用しない 


沒ユーザ認証を利用する 

ユーザ認証ウェブのポート番号を |44T~ とする 
(分からな、場合は、変更しない "TF 乳、） 
どこからの認証を許可しますか？ 

-内部ネットワー如、らのみ許可する 
r すべてのネットワー如、ら許可する 

ユーザ認証の利用選択画面 



r すべてのネットワークから許可する 


ユーザ認証の利用選択画面 
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3. ユーザ認証の受付を設定する。 

• 内部ネットワークがらのみ許可する 
ユーザ認証のためのアクセスを内部 
ネットワークがらのみ受付けます。 

• すべてのネットワークから許可する 
ユーザ認証のためのアクセスをどこ 
からでも受付けます。 


ファイアウォール 〉かんたん設定 


ユーザ認証を利用しますか？ 

勤 I F _ 

^ユーザ認証を利用しない 
-ユーザ認証を利用する 


L 奴し以、で下さい） 
どこからの認証を許可しますか？ 

夕内部ネットワー如、らのみ許可する 
r すべてのネ士ワークから許可する 


内部ネットワークからのみ許可する 
r すべてのネットワークから許可する 


ユーザ認証の利用選択画面 


4. [次へ]をクリックする。 

設定内容確認画面が表示され、これまでの設定内容の確認に進みます。 


• [戻る]をクリックすると、より強固な不正アクセス対策の設定画面に戻ります。 

• ユーザ認証は詳細設定メニューの「認証設定」からも設定することができます。認証設定に 
ついては、225ぺージを参照してください。 
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かんたん設定ウイザードでの設定内容の確認 


かんたん設定ウイザードを利用して設定した内容を確認することができます。 

1. 設定内容確認画面から以下の項目を確認 
する。 


• NAT/NAPT によるアドレス変換の設 
定の有無 

Express5800/SG3 ◦◦がアドレス変 
換を行うかどうが表示します。 

プリッジ構成の場合は、「プリッジ機 
能を利用する」と表示されます。 

• 不正アクセス対策レベル 

不正アクセス対策レベルを表示しま 
す。 

• ユーザ認証 

ユーザ認証を利用するかどラがを表 

ホし汞 To 

• ネットワーク構成 

ネットワークの構成、外部ネットワークアドレス、内部ネットワークアドレス、 DMZ ネット 
ワークアドレスを図で表示します。 

• 外部ネットワーク上の利用可能サービス 

内部ネットワークがら利用できる外部ネットワーク上のサービスを一覧表示します。 

參外部ネットワークへ公開するサーバ 

外部ネットワークから利用できる内部ネットワーク上のサーバと、そのサーバの公開 IP アド 
レス、内部 IP アドレスを一覧表示します。 


2. 設定した内容で問題なければ[設定]をクリックする。 

ルール適用画面が表示されます。 

設定内容の適用に失敗すると、エラー内容が表示されます。その場合、再度設定をやり直して 
ください。 

•し[120 

[やり直し]をクリックすると、設定した内容は保持したままかんたん設定ウィザードのネット 
ワーク構成の選択画面に戻り、最初から設定をやり直すことができます。 


ファイアウオール〉かんたん設定 


下記のように設定してよろしいですか？ 

■アドレス変換を行う。 

■不正アクセス対策(ペーシック疮«。 

■ユーザ認証をネ佣する。（すべてのネットワー如、ら許可する） 


1.0/24 




ット *7-^ アドレス 

192.168 .20.0/24 
192.168 .9.0/24 


lZ. DMZ ネット 1 ァドレス 

td 192.168 .30.0/24 


〇 エフサービス (HTTP/HTTPS) 
P —ルサービス (SK/TTP) 
巧イル磁サービズ (FTP) - 
事ニム"ザニ已ズ (DNS) 

時刻问期サービス (NTP) 


公開サーバ 
P エブサーハ (HTTP) 

P —ルサ― 《(SMTP) 『72.1 6.1.2 lfO.10.10.2 

巧マ転送サこバ (FTP) 『72.1 6.1.3 『0.1 0.10.3 

p •—ムサーハ (DNS) 1172.16 .1.4 ^0.10.10.4 


戻る I やり直し I 設定」 


設定内容確認画面 
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3. [戻る]をクリックする。 


かんたん設定 


ファイアウォールメニューに戻ります。 


ファイアウォール > かんたん設定 


下記のように設定してよろしいですか？ 

ークから許可する） 


■アドレス変換を行う。 

■不正アク拉対策(ベーシック疮行う0 
■ :—"認証を利用する。（すべてのネットワークノ 


内部ネ》トワ_ク 


鋒卜卞二，二：ぶ 

Expr^ssSoorso Jg? 兔 192.168 .9.0/24 

撕トワ•クアルス^ 

172.16 .1.0/24 |_ 




192.168 .30.0/24 


P エブサーヒ「ス (HTTP/HTTPS) 
しサービス (sW^5 
ウ7イル転送サービス (FTP) 
ネームサービス (DNS) 

時刻同期サービス (NTP) 



公開 サーバ 公開 IP アドレス 内部 IP て 

P エフサーハ(一 HTTP) 『72.16.1.1 『0_1.1.1:80 

P —ルサーメ 1172.16 .1.2 『0.10.10.2 

[^イル_云 iM サーノ \(FTP)^ 72.16 .1.3 110.10.10.3 — ~ 

降ームサーバ (DNS) 1172.16.1.4 『0.10.10.4 


設定内容確認画面 
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詳細設定メニュー 

かんたん設定ウィザードを利用して設定を行った後、細かい設定が必要な場合は、詳細設定メニューを使 
用します。 

I n -〇 詳細設定を行うには、必ず一度はかんたん設定ウイザードでの設定を行う必要があります。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 

詳細設定メニューがらは主に以下の内容 
を設定することができます。 

參ルール 設定 

がんたん設定ウィザードで設定した 
内容をさらに詳しく設定することが 
できます。 

• ユーザ 設定 

ユーザ情報の登録、削除、更新と 
いった管理やユーザ認証の設定を行 
います。 

• VPN 設定 

VPN の詳細設定をすることができま 
す。 

• ログ•アラート設定 

ログ'フアイルやアラートファイルに 
関連する各種パラメータを設定する 
ことができます。 



「ルール設定」の中で、ポタンの下に「編 
集中」と表示されている項目は、各項目 
の設定内容が編集中であることを示し 
ます。各項目の設定では、設定完了 
後、[登録]をクリックしますが、この 
段階では新しい設定内容を作成しただ 
けで、 Express 5800 / SG 300には 
適用されていない状態であるため、詳 
細設定メニューには「編集中」と表示さ 
れます。作成した設定内容を適用する 
には[編集結果を適用]をクリックして 
ください。 



ファイアウォールメニュー画面 


フ7イアウォ ー 4 >! 


[ヘルプ! 


最終更新日: 

斤状態に戻す | 


7ラ'-トファイル毅定 


詳細設定メニュー画面 
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ルール 設定 

かんたん設定ウィザードで設定した内容をさらに詳しく設定することができます。 

ルール設定では以下の項目を設定します。 

サイト共通ルール . 外部ネットワークと内部ネットワーク、あるいは 

外部ネットワークと DMZ、 さらには内部ネット 
ワ j と DMZ というように、 Express 5800 /SG300 
を間に挟んだネットワークをサイトとして管理 
し、そのサイト内で常時適用されるルールを設定 
することができます。 


グループルール . サイト共通ルールでの設定に対して、グループ単 

位で例外的に許可するルールを設定することがで 
きます。 

サーバ公開ルール . 外部ネットワークにサーバを公開するための設定 

やアドレス変換 （NAT) などを行うことができま 
す。 

流入量制限ルール .DMZ/ 内部ネットワークに入ってくるパケット流 

量を制限することができます。 

アドレスグループ . アドレスごとにグループを作成することができま 

す。サイト共通ルールやグループルールの発信 
元、宛先に指定することができます。 

サービス . サービスを新たに定義することができます。定義 

したサービスはサイト共通ルールやグループルー 
ルの通信種別に設定することができます。 

ルール設定の履歴表示 . 設定したルールの履歴を表示することができま 

す。 

インポート/エクスポート . 各ルールの設定内容をエクスポートしたり、 

Exp「ess5800/SG3 〇〇にインポートすることが 
できます。 


■ I ： 各ボタンの下に「編集中」と表示されている場合には、各種ルールを編集したままであるこ 
とを示しています。[編集結果を適用]をクリックすれば、編集内容を Express 5800 / SG 300 に 
適用することができます。 

編集中の ルールセッ トを破棄したい場合には、[最終更新状態に戻す]をクリックすれば、編 
集中の ルールを 破棄し、 Express 5800 / SG 300 に適用した最終の ルールセ ットの状態に戻す 
ことができます。 
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設定作業の流れ 


ここでは、かんたん設定ウィザードで設定をしたあと、詳細設定メニューを利用してさらに 
詳細な設定を行ラ場合の作業の流れを、設定事例をもとに説明します。 

■ 外部ネットワークから内部ネットワークや DMZ 上のサーバへのアクセスを許可するには 

1. サーバ 公開 ルールを 設定する。 

2. サイト共通ルールを設定する。 

このとき NAT を利用している場合、宛先は内部 IP アドレスを指定する。 

3. 詳細設定メニューで、サーバ公開ルールとサイト共通ルールの編集結果を適用する。 

■ 内部ネットワークから外部ネットワークへのアクセスを許可するには 

1. サイト共通ルールを設定する。 

2. 詳細設定メニューで、サイト共通ルールの編集結果を適用する。 

■ 認証されたユーザについてのアクセスを許可するには 

1. グループ設定で、 ユーザの グループを作成す る。 

2. ユーザ 設定で、 ユーザを 作成して グループに 所属させる。 

3. グループルールを設定する。 

4. 詳細設定メニューで、グループルールの編集結果を適用する。 

■ 内部ネットワークユーザが閲覧する外部ネットワークの URL を制限するには 

1. サイト共通ルールのウェブ専用フィルタの設定を行う。 

2. サイト共通ルールで、「ウェブ専用フィルタを経由して見る」を有効にする。 

3. 詳細設定メニューで、サイト共通ルールの編集結果を適用する。 

■ 外部ネットワークの特定のメールアドレスからのメールを制限するには 

1. サーバ公開ルールのメール専用フィルタの設定を行う。 

2. サーバ公開ルールで、「メール専用フィルタを経由して公開する」を有効にする。 

3. 詳細設定メニューで、サーバ公開ルールの編集結果を適用する。 
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サイト共通ルール 


サイト共通ルールとは、 Exp「ess5800/SG30 〇を導入した環境において、外部ネットワーク 
と内部ネットワーク、あるいは外部ネットワークと DMZ、 さらには内部ネットワークと 
DMZ というように、 Express 5800 /SG 300を間に挟んだネットワーク内で常時適用される 
ルールのことです。 

サイト共通ルールでは、以下のよラな設定 • 管理を行ラことができます。 


• サイト共通ルールの設定内容の確認 
• サイト共通ルールの追カロ 
• サイト共通ルールの削除 
• サイト共通ルールの更新 
• ルール評価順の入れ替え 

• 内部から外部への通信におけるウェブ専用フィルタの設定 
• 内部から外部への通信におけるメール専用フィルタの設定 


サイト共通ルールの設定内容の確認 

かんたん設定ウィザードから設定したサイト共通ルールや、すでに設定したルールはサイト 
共通一覧画面が6確認することができます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 
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3. 詳細設定メニューの「ルール設定」から[サ 
イト共通ルール]をクリツクする。 


ルール設定一覧画面が表示されます。表 
示される内容は以下の通りです。 



詳細設定メニュー画面 


項目 

説明 

No. 

ルールの番号です。通信を通すか否がの判定の際は、番号の 
若いルールが6順番に評価した結果、最初にマツチしたルー 
ルに基づいて処理されます。 

発信元 

バケツトの発信元を表す IP アドレス、ネツトワークアドレ 
ス、あるいは内部、外部、 DMZ のいずれかです。 

宛先 

バケツトの宛先を表す IP アドレス、ネツトワークアドレス、 
あるいは内部、外部、 DMZ のいずれがです。 

通信種別 

バケツトのプロトコル種別を表します。 

処理 

㊁ 

バケットを通します。 


パケットを破棄し、発信元へ応答を返しません。 

〇 

パケットを拒否し、発信元へエラーを返します。 

記録 


通信のログを残します。 

逸 

通信のログを残すとともにアラート情報も残しま 
す。 

[空白] 

ログもアラートも残しません。 


































ルール設定(サイト共通） 




■成 ■ 

r 1 

内部 

内部 


teD すべて 



r 2 

外部 

192.168 .30.20 


tOD すべて 

百 

ぶ 

r 3 

冤部門ネット1「 

S 部門ネット2 

同ゥ； L ブサ-バ 


http 

https 




ルール設定一覧 


ルールの1行目：内部ネットワークにある端末間のすべての TCP 通信を許可することを表しま 
す。 


ルールの2行目： 


ルールの 3 行目： 


外部ネットワークが 619Z168.30.2 ◦の IP アドレスを持つ端末への TCP 通信を 
すべて拒否し、その通信ログとアラート情報を残すことを表します。 


部門ネット1、部門ネット2からウェブサ- 
可しログを残すことを表します。 


-バへの HTTP 通信、 HTTPS 通信を許 


I 設定履歴 I かんたん設定(ネットワーク構成)の確認 I 



No. | の前に JtAj 

一覧末尾にルールを追加」 
選択したルールを 
選択ノこルールを No. 「 


設定履歴 I かんたん設定(ネットワーク構成)の確認 I 

通用 J ポタン於リックしてください* 


の前に移助| 


i 



内部 

任意 



2 

任意 


10.10.10.1 


http 

© 


3 

任意 


10.10.10.2 


https 



4 

任意 


10.10.10.3 


smtp 

© 


5 

任意 


10.10 .10.4 


细 



6 

任意 


10.10.10.5 


dns 



7 

内部 


外部 


hm 

1 © 


8 

内部 


外部 





9 

内部 


外部 





10 

内部 


外部 





U 

内部 


外部 


dns 



12 

内部 


「外部 


ntfi 



13. 

内部 


ファイアウォール自身 


https 

© 


fr 14 

内部 


P ファイアウォール自身 


daytime 




["※フィルタ経由の指定は、外部へのアクセスのみでなく内部同士も含 W す。 
r 内部からウエブ専用フィルタ経由で外部のウエブサイトを見る。( ウエブ専用フィ ji 
|「内部からメール専用フィルタ経由で外部へメールを送る。( メール専用フイルタ言 

サイト共通ルール設定画面 


■ nyf\ 

画面右上の「設定履歴」をクリックすると、「かんたん設定」と「ルール設定」での設定内容の 
履歴が表示されます。 

画面右上の「かんたん設定（ネットワーク構成）の確認」をクリックすると、かんたん設定で 
設定した内容が別ウィンドウで表示されます。 


具体的なサイト共通ルールー覧の事例を示します。 


フ7イアウォール 〉 詳細設定 〉ルール設定(サイト共通) 
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サイト共通 ルールの 追加 

必要に応じてサイト共通ルールを追加することができます。 


1 . Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリツクする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリツクする。 

詳細設定メニュー画面が表示されます。 




状態表示| ログ•アラート表示 I 



確 IS / 登錄| 


ファイアウォールメニュー画面 


3. 詳細設定メニューの「ルール設定」から[サ 

1 卜共]®ノレ——ノレ]をソ 1 J 、ソクする0 フ^才-ル >離雖 _ 



詳細設定メニュー画面 






































4 . 表の途中に揷入する場合は、 「 No . の前に 


ルール設定(サイト共通） 


許可® r 破棄© 


^ユーザ指定 ^外部 

r 内部 r DMZ 广 任意 

|アドレスヴルーゴその3 

「上記指定以外 

laddrgrpl ^1 

叫 

- f アドレスヴループその4 

」 1ァドレスグル-プその5」 

「ユーザ指定 ^外部 

厂 

「上記指定以外 

夕内部 广 DMZ r 任意 r フ7イアウォール自身 

〜1 ~ ^ 

d |ァドレス^ 

P ユーザ指定 广任意 


tcp すべて 

二1 b 

」 |daytime-tcp^J 

p 广ん r ログ_ 

广アラート + ログ® 


登錄 I 


ルール設定追加画面 


U 押人』」の I N 0.」のァ干スト爪ツクスに 

ルールの番号を入力し、 「No. の前に『揷 


)1_ 一. IL ■設定け*.仆办里） 


I 設麵歴 I かんたん設定(ネットワーク構成)の確認 I 





サイト共通ルール設定画面 


「No」 のテキストボックスに値を入れずに 「No. の前に『揷入』」をクリックすると、エラー内容を 
示す画面を表示します 




「かんたん設定ウィザード」で設定されたルール（背景ピンク色）の間にも亲斤しくルールを挿入す 
ることはできますが、再度「かんたん設定ウィザード」を用いてルールを再生成した場合、追カロ 
したルールは一覧の上部に表示され、「かんたん設定ウイザード」で設定したルールよりも評価 
順が上位になります。 


ルール設定追加画面に表示される各項目 
を設定する。 


フ ァイ アウオール > 詳細設定 > ルール 設定(サイト共通) > ルール設定追加 


ファイアウオ—ル機能の設定方法 


5 . 


117 
























































































項目 

説明 


許可 

バケットを通します。 

処理 

破棄 

パケットを破棄し、発信元へ応答を返しません。 


拒否 

パケットを拒否し、発信元へエラーを返します。 


ユーザ指定 

ユーザの指定した発信元に対し処理を適用します。 

テキストエリアにアドレスを直接入力するか、アドレス 
グループをリストから指定します。アドレスグループか 
ら指定する場合は、アドレスグループのリストからアド 
レスグループを選択し、 [—] をクリックします。クリック 
するとテキストエリアに選択したアドレスグループが揷 
入されます。アドレスグループは、178ページの「アド 
レスグループ」で登録したものが表示されます。 

発信元 

外部 

外部ネットワークからの通信です。 


内部 

内部ネットワークからの通信です。 


DMZ 

DMZ からの通信です。 


任意 

発信元に関わらず処理を適用します。 


上記指定以外 

チェックボックスをチェックすると、選択した発信元以 
外の通信に対し処理を適用します。たとえば、 rDMZJ 
を選択し「上記指定以外」をチェックすれば DMZ 以外を 
発信元とする通信に対し処理を適用します。 


ユーザ指定 

ユーザの指定した宛先に対し処理を適用します。 

テキストエリアにアドレスを直接入力するか、アドレス 
グループをリストがら指定します。アドレスグループか 
ら指定する場合は、アドレスグループのリストからアド 
レスグループを選択し、 [—] をクリックします。クリック 
するとテキストエリアに選択したアドレスグループが揷 
入されます。アドレスグループは、178ページの「アド 
レスグループ」で登録したものが表示されます。 


外部 

外部ネットワークへの通信です。 

宛先 

内部 

内部ネットワークへの通信です。 


DMZ 

DMZ への通信です。 


任意 

宛先に関わらず処理を適用します。 


ファイアウォ 
ール自身 

ファイアウォール自身への通信です。 


上記指定以外 

チェックボックスをチェックすると、選択した宛先以外 
の通信に対し処理を適用します。たとえば、 「DMZ」 を 
選択し「上記指定以外」をチェックすれば DMZ 以外を宛 
先とする通信に対し処理を適用します。 

通信種別 

ユーザ指定 

ユーザの指定したプロトコル種別に対して処理を適用し 
ます。テキストエリアにプロトコル種別を直接入力する 
かサービス種別をリストから指定します。サービス種別 
から指定する場合は、サービスのリストからサービス種 
別を選択し、 [—] をクリックします。クリックするとテキ 
ストエリアに選択したサービスが表示されます。サービ 
スのリストには、189ページの「サービス」で登録した 
ものと標準定義サービスが表示されます。 


任意 

通信種別に関わらず処理を適用します。 


なし 

ログもアラートも残しません。 

記録 

ログ 

通信のログを残します。 


アラート 

通信のログを残すとともにアラート情報も残します。 




一圆 


発信元および宛先が含むアドレスグループのメンバの数の合計は、直接入力したアドレスの 
数を含めて最大50個までです。 

通信種別が含むサービスのメンバの数の合計は、直接入力した要素の数を含めて最大50個 
までです。 


6. [登録]をクリックする。 

ルール設定追加結果画面が表示されます。 

IチェックI 

登録に失敗した場合には、エラー内容を示す画面を表示します。 


[ルール設定（サイト共通）に戻る]をク 
リックする。 

追加したルールが反映されたルール設定 
一覧画面が表示されます。 


ルール設定追加結果 


>ルール設定(サイト共通）〉追加結果 


下記のとおり、ルール設定追加に成功しました。 


i ) アドレスグルーブその3 


ルール設定(サイト共通)に戻る 



8. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 


ルール設定追加結果画面 



VPN 設定ウ^ tf ード | VPNK ス設定 I VPNM ラメータ設定」 


詳細設定メニュー 




「ルール設定」の中で、下に「編集中」と表示されている項目は、各項目の設定内容が編集中 
であることを示します。手順6で[登録]をクリックしますが、この段階では新しい設定内 
容を登録しただけで、 Express 5800 / SG 300には適用されていない状態であるため、詳 
細設定メニューには「編集中」と表示されます。作成した設定内容を適用するには[編集結果 
を適用]をクリックしてください。 

[最終更新状態に戻す]をクリックすると、 Express 5800 / SG 300はルールの追加前の状 
態に戻ります。 
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9. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る0 

新しく追加したルールが Exp「ess5800/SG 300に適用され、設定結果画面が表示されます。 


10. [詳細設定メニューに戻る]をクリックす 
"〇) 〇 


ファイアウオール 〉 詳糸田設定 〉 


詳細設定メニューに戻る 


新 U 、ルールを適用しました。 

詳細設定メニュ 
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サイ ト 共通 ルールの 削除 

不要になったサイト共通ルールを削除することができます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



かんたん設定 J 


状態表示 | ログ•アラート表示 


ソフトウ： L アアップデート」バックアップ.リス| 


ファイアウォールメニュー 


3. 詳細設定メニューの「ルール設定」がら[サ 
イト共通ルール]をクリックする。 

ルール設定一覧画面が表示されます。 


サイト共通ルール 




ユーザ設定」 iS l 設定」 ロックアウト設定 グループ發 


ロヴ•アラートファイル肢定 I アラートアクシ9ン設定 


詳細設定メニュー画頂 


4. 肖II除したいルールの「N0」の横に表示され 
るチェックボックスをチェックし、「選択 
したルールを『削除』」をクリックする。 


ルール設定(サイト共通） 


選択し「こルールを 
選択したルールを 


則除| 

N 。. 「 


ファイアウォール > 詳細設定 > ルール設定(サイト共通） 


の前に移勒 I 


No . 

発信元 


i 1 

内部 


外部 

2 

内部 


内部 

3 

任意 


10.10 .10.1 


I 設麵歴 I かんたん跪 
ゴ画面の「編集結果を通用 j ポタンをクリックし 

P-l 

*覧末尾にルールを理 
選択 u ■こルールを 

if 尺したルールを No . r の前に移劫 I _ 

内部 外部 |以外ド 

内部 _|内部 意 

任意 
任意 


1 選财こ儿 
1 選キ狀儿 

^5 


を 进加| 

則除 I 

No. r ^ 


7 

HE 


10.10.10.1 
10.10.10.2 

10.10 .10.3 

10.10.10.4 

10.10.10.5 
外部 
外部 
外部 
外部 
外部 


|外部 

フ7イアウオー J レ自身 


http 

https 

ftp 


I EfeigCT 

| ※フィルタ経由の指 5 


I の指定は、外部へのアク12スのみでなく内部同士も含みます。 

-内部からウェブ専用フィルタ経由で外部のウェブサイトを見る。( ウェブ専用フィ JI 
-内部からメール専用フイルタ経由で外部へメールを送る。（メール専用フイルタ設 


サイト共通ルール設定一覧画面 


ファイアゥォ—ル機能の設定方法 



a. 


i 画 


© 1 ®®®© 


1 ©© 
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•Lira 

• 一覧の背景がピンク色の項目は、「かんたん設定ウィザード」を経由して設定されたルール 
であることを示しています。このルールについては、サイト共通ルールの設定から削除する 
ことはできません。 

• 「全選択/解除」のチェックボックスをチェックすると、削除可能なルールのすべてを一度に 
選択できます。逆に、「全選択/解除」のチェックボックスのチェックを外すと、いったん 
チェックボックスにチェックをつけたすベてのルールを削除対象から外すこともできます。 


5. 別ウィンドウで削除確認のダイアログメッセージが表示されるので[〇 K] をクリックする。 
サイト共通ルールが削除され、削除確認の別ウィンドウが閉じます。 

•:一 [120 

[キャンセル]をクリックすると、削除されずにルール設定一覧画面に戻ります。 


6. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 



詳細設定メニュー画面 


• 「ルール設定」の中で、下に「編集中」と表示されている項目は、各項目の設定内容が編集中 
であることを示します。手順5で [0 K ] をクリックしますが、この段階ではルールの削除は 
Express 5800 / SG 300には適用されていない状態であるため、詳細設定メニューには 
「編集中」と表示されます。作成した設定内容を適用するには[編集結果を適用]をクリックし 
てください。 

• [最終更新状態に戻す]をクリックすると、 Express 5800 / SG 300はルールの削除前の状 
態に戻ります。 


7. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る 0 

ルールの削除が Express5800/SG3 ◦◦に適用され、設定結果画面が表示されます。 

8. [詳細設定メニューに戻る]をクリックす _設定 

る〇 フ7心 7 8 ^ォール 〉 詳細設定 〉設定結果 
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サイト共通 ルールの 更新 

一度設定したサイト共通ルールの内容を変更することができます。 


1 . Management Console トップ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 


3. 詳細設定メニューの「ルール設定」から[サ 
イト共通ルール]をクリックする。 

ルール設定一覧画面が表示されます。 




状態表示」 ログ•アラート表示 


フアイ ノノ ウォールメニュー画 Hi 


フ7イアウォール 〉詳細設定 


サイト共通 ルール 


サイト共通ル-ル プル-プル—ル 

アドレスグループ| サービス 

最終更新日: 2〇〇本 

最終更新状嫌！こ戻す ] 編実 
「 ユーサ'設定 | mmm | 

I VPN 较定ウイザード | V 


サーパ公啪レール ^ 流入量制限ルール 


ロックアウト設定 ヴループ設定 


VPN 较定ウイザード 」VPNH ス较定」 VPN パラ乂-夕設定 


アラ'■トアケン a ン設定 


詳細設定メニュー画面 


4. 変更したいルールの「N0.」をクリックす 

合 〇 

ルール設定更新画面が表示されます。 


ルール設定(サイト共通） 


ファイアウオール 〉 詳細設定 〉ルール設定(サイト共通） 


No . | の前に ヰ A | 

一賣末尾にルールを追加」 

選択したルールを _»] _ 

選択したルールを No . | の前に n 


1 設定履歴 I か A / こん設定(こ 
ゴ画面の「編集絰果を適用」ボタンをクリックして 


(ネットワーク構成)の確認I 







iUlPiil 

pT 

内部 


ファイアウォール 自身 「 [daytime 



2 

内部 


内部 任意 

© 


3 

任意 


10.10.10.1 

httfi 

© 


4 

任意 


P 10.10.10.2 

https 

© 


5 

任意 


f 10.10.10.3 

snrte 



6 

任意 


10.10.10.4 

ftfi 

© 


7 

任意 


10.10 .10.5 


© 


8 

内部 


外部 

http 

© 


9 

内部 


「外部 

https 

© 


10 

内部 


f 外部 

s.mtp 

© 


11 

内部 


f 外部 

fte 

© 


12 

内部 


外部 

dm 

© 


13 

内部 


「外部 

Irtfi 

© 


1 — 

内部 


ファイアウォール 自身 

https 

© 



※フィルタ経由の指定は、外部へのアクみで く 内部同士も含みます。 

r 内部からウェブ専用フィルタ経由で外部のウェブサイトを見る。( ウェブ専用フィルタ設定) 
| r 内部からメール専用フィルタ経由で外部へメールを送る。 ール専用フィルタ設定) 

魅 


サイト共通ルール設定一覧画面 
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一覧の背景がピンク色の項目は、「かんたん設定ウィザード」を経由して設定されたルールであ 
ることを示しています。このルールについては、「記録」の項目についてのみしか変更すること 
ができません。その他の項目を更新する場合は、もう一度「かんたん設定ウイザード」に戻って 
設定をやり直してください。 


ルール設定更新画面に表示される各項目 
を設定する。 


フ7イアウオール > 詳細設定 > ルール設定(サイト共通) > ルール設定更新 


■許可.公 「破棄® r JgsO 


fr r 外部 内部 r DMZ 

^任意 

1 :ィ 
厂上記指舰外 



- 任意 C ファイアウォール自身 


卩,上記指定以外 


p ューザ指定 

r 任意 



daytime 

d 

biff 

daytime-udp ■ 

ffn 

夕な 

し 

r ログ Ji 广アラート+ ログ¢0 


\Mi 


ルール設定更新画面 


項目 

説明 

処理 

許可 

バケットを通します。 

破棄 

パケットを破棄し、発信元へ応答を返しません。 

拒否 

パケットを拒否し、発信元へエラーを返します。 

発信元 

ユーザ指定 

ユーザの指定した発信元に対し処理を適用します。 

テキストエリアにアドレスを直接入力するか、アドレス 
グループをリストがら指定します。アドレスグループが 
ら指定する場合は、アドレスグループのリストがらアド 
レスグループを選択し、 [—] をクリックします。クリック 
するとテキストエリアに選択したアドレスグループが揷 
入されます。アドレスグループは、178ページの「アド 
レスグループ」で登録したものが表示されます。 

外部 

外部ネットワークがらの通信です。 

内部 

内部ネットワークからの通信です。 

DMZ 

DMZ がらの通信です。 

任意 

発信元に関わらず処理を適用します。 

上記指定以外 

チェックボックスをチェックすると、選択した発信元以 
外の通信に対し処理を適用します。たとえば、 「DMZ」 

を選択し「上記指定以外」をチェックすれば DMZ 以外を 
発信元とする通信に対し処理を適用します。 

宛先 

ユーザ指定 

ユーザの指定した宛先に対し処理を適用します。 

テキストエリアにアドレスを直接入力するか、アドレス 
グループをリストがら指定します。アドレスグループが 
ら指定する場合は、アドレスグループのリストからアド 
レスグループを選択し、 [—] をクリックします。クリック 
するとテキストエリアに選択したアドレスグループが揷 
入されます。アドレスグループは、178ページの「アド 
レスグループ」で登録したものが表示されます。 

外部 

外部ネットワークへの通信です。 

内部 

内部ネットワークへの通信です。 










































DMZ 

DMZ への通信です。 


任意 

宛先に関わらず処理を適用します。 

宛先 

ファイア 
ウォール目身 

ファイアウォール自身への通信です。 


上記指定以外 

チェックボックスをチェックすると、選択した宛先以外 
の通信に対し処理を適用します。たとえば、 「DMZ」 を 
選択し「上記指定以外」をチェックすれば DMZ 以外を宛 
先とする通信に対し処理を適用します。 

通信種別 

ユーザ指定 

ユーザの指定したプロトコル種別に対して処理を適用し 
ます。テキストエリアにプロトコル種別を直接入力する 
かサービス種別をリストから指定します。サービス種別 
から指定する場合は、サービスのリストからサービス種 
別を選択し、 [—] をクリックします。クリックするとテキ 
ストエリアに選択したサービスが表示されます。サービ 
スのリストには、189ページの「サービス」で登録した 
ものと標準定義サービスが表示されます。 


任意 

通信種別に関わらず処理を適用します。 


なし 

ログもアラートも残しません。 

記録 

ログ 

通信のログを残します。 


アラート 

通信のログを残すとともにアラート情報も残します。 




発信元および宛先が含むアドレスグループのメンバの数の合計は、直接入力したアドレスの 
数を含めて最大50個までです。 

通信種別が含むサービスのメンバの数の合計は、直接入力した要素の数を含めて最大50個 
までです。 


6. [登録]をクリックする。 

ルール設定更新結果画面が表示されます。 


I チェック I 

登録に失敗した場合は、エラー内容を示す画面を表示します。 

[ルール設定（サイト共通）に戻る]をク 
リツクする。 


ルール設定更新結果 


ファイアウオール 〉 詳細雜 〉 ルール設定(サイト共通） > 更新結果 


更新した ルールが 反映された ルール 設定 
一覧画面が表示されます。 


下記のとおり、ルール設定に成功しました。 


ルール設定（サイト共通）に戻る 



ルール設定更新結果画面 


ファイアゥォ—ル機能の設定方法 


125 





































詳細設定メニュー画面 


p-Oi^ 

• 「ルール設定」の中で、下に「編集中」と表示されている項目は、各項目の設定内容が編集中 
であることを示します。手順6で[登録]をクリックしますが、この段階では新しい設定内 
容を登録しただけで、 Express 5800 / SG 300には適用されていない状態であるため、詳 
細設定メニューには「編集中」と表示されます。作成した設定内容を適用するには[編集結果 
を適用]をクリックしてください。 

• [最終更新状態に戻す]をクリックすると、 Express 5800 / SG 300はルールの更新前の状 
態に戻ります。 


9. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る。 


更新したルールが Express5800/SG 300に適用され、設定結果画面が表示されます。 


10. [詳細設定メニューに戻る]をクリックす 
る。 


詳細設定 


ファイアウォール 〉 詳細設定 〉 


詳細設定メニューに戻る 



新しし、ルールを適用しました。 

詳細設定メニューに戻る | 
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ルール評価順の入れ替え 

サイト共通ルールの評価順を入れ替えることができます。 






状態表示|ログ•アラート表示 


ソフトウェアアップデート J バックアップ.リストア 


ファイアウォールメニュー画面 


[ 


プルーブルールI サ'■パ公聞ルール1 流入量制限ルール 


アドレスグル'-プ d サ-ビス 


VPN 設定ウイザード | VPNH ス設定」 VPN パラメータ設定 


アラ-トアクション設定 


詳細設定メニュー画面 


ルール 設定(サイト共通） 


ール > 詳細設定 > ルール設定(サイト共通） 


ルールの追加 • 則除•更 
No. | の前に 

一覧末尾にルールを 
選択したルールを 
選択したルールを 


挿入 

:難」 
則除 j 
No. |1 


I 設定履歴 1 か A/ こん設定(ネットワーク構 
> ゴ画面の「編集結果を通用 J ボタンをクリックしてください。 


の前に移助| 


1 

内部 


内部 

|任意 


國 

2 

任意 


10.10 .10.1 


http 



3 

任意 


10.10 .10.2 


https 

© 


4 

任意 


10.10.10.3 


smtp 

© 


~~~^ 

任意| 


10.10 .10.4 


ftfi 

© 


6 

任意 


10.10 .10.5 


4 m 

© 


7 

内部 


外部 


httfi 

© 


8 

内部 


外部 


https 

© 


9 

内部 


外部 


smtp 

© 


1 m 

内部 


外部 


fifi 




内部 


外部 


dns 



r^i 

内部 


外部 


ntfi 

I 


r ^\ 

内部 

1 フアイアウオー J し自身 


https 



1714 

内部 

ファイアウォール自身 


daytime 

© 



ルタ経由の指定は、外 


1フイ J し夕言受@ 

-内部からメール専用フィルタ経由で外部へメールを送る。 <2?rikaffl2^kSg© 

確定 I 一 


サイト共通ルール設定一覧画面 


1 . Management Console トップ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 


3. 詳細設定メニューの「ルール設定」がら[サ 
イト共通ルール]をクリックする。 


サイト共通ルール- 
す。 


-覧画面が表示されま 


サイト共通 ルール 




4. 評価順を入れ替えたいルールの「N0」の横 
に表示されるチェックボックスをチェッ 
クし、さらに「選択したルールを No. の前 
に『移動』」の「N0」のテキストボックスに 
ルールの番号を入力し、「選択したルール 
を No. の前に『移動』」クリックする。 


1 


選択したルールを 肖 ij 除| 


選択した ルールを 1 

No . |1 

の 前に移！; 

N 。. 

発信元 


1 

内部 


内部 

2 

任意 


10.10 .10.1 
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• 「かんたん設定ウイザード」で設定されたルール（背景ピンク色）の間にもルールを移動する 
ことはできますが、再度「かんたん設定ウイザード」を用いてルールを再生成した場合、移 
動したルールは一覧の上部に表示され、「かんたん設定ウイザード」で設定したルールより 
も評価順が上位になります。 

• 「かんたん設定ウイザード」で設定されたルールよりも下位にあるルールについては、再度 
「かんたん設定ウイザード」を用いてルールを再生成した場合でも、評価順は下位のままで 
す0 


評価順が反映されたルール設定一覧画面が表示されます。 



詳細設定メニュー画面 


p-OB^ 

• 「ルール設定」の中で、下に「編集中」と表示されている項目は、各項目の設定内容が編集中 
であることを示します。手順4で「選択したルールを No . の前に『移動』」をクリックします 
が、この段階では新しい設定内容を登録しただけで、 Express 5800 / SG 300には適用さ 
れていない状態であるため、詳細設定メニューには「編集中」と表示されます。設定内容を 
適用するには[編集結果を適用]をクリックしてください。 

• [最終更新状態に戻す]をクリックすると、 Express 5800 / SG 300はルールの評価順変更 
前の状態に戻ります。 


6. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る 0 


新しい評価順のサイト共通ルールが Express 5800 /SG 300に適用され、設定結果画面が表示され 
ます。 


7. [詳細設定メニューに戻る]をクリックす 
る 0 


詳細設定 


フ7イアウォール > 詳細設定 > 設定結果 


IfU、 ルールを適用しました。 









































内部から外部への通信におけるウェブ専用フィルタの設定 

内部ネットワークまたは DMZ から外部ネットワークへの HTTP 通信のフィルタリング設定を 
行うことができます。ここでは、アクセス制御する URL を設定することで内部ネットワーク 
から外部ネットワークへの HTTP 通信を制限します。 


1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」がら[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 




状態表示|ログ•アラート表示 


ソフトウェアアップデート | バックアップ.リストア 


フアイ ノノ ウォールメニュー画面 


3. 詳細設定メニューの「ルール設定」から[サ 
イト共通ルール]をクリックする。 


フオール > 譜田設定 
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4. 「オプション」の「ウェブ専用フィルタ設 
定」をクリックする。 

ウェブ専用フィルタ設定(内->外)画面が 
表示されます。 


ルール設定(サイト共通） 


ファイアウォール > 詳細設定 > ルール設定(サイト共通） 




一の前に禅入| 
一覧末尾に/ 一 , 

選択したルー 
選択 U ■こルールを 


I 設定履歴 I かんたん設定(ネットヮー 
、ッゴ画面の「編集結果を通用」ボタンをク y ックしてください。 


尾にルールを追加| 

•こルールを上!除]— 
■こルールを No. | 


の前に移助| 


「「 - 

内部 


外部 \~im [daytime | 


1 g 

内部 


内部 

|任意 


厂 - 

任意 


10.10.10.1 


http | 


1 7 

r 5 

任意 


10.10 .10.2 


https | ® 


任意 


10.10.10.3 


smtp 


| 6^ 

任意 


10.10 .10.4 


fiE | © 


r z 

任意 


10.10.10.5 


dns | © 


厂 - 

内部 


外部 


h«£ 1 © 


r 9 

内部 


外部 


https 



内部 


外部 


smtp ® 



内部 


外部 


fie | © 


1 ~~ iT| 

内部 


外部 


dD§ 1 © 


口 

内部 


外部 

ntfi ② 


「 — 

p 内部 


ファイアウォール自身 

https | ® 




サイト共通ルール設定一覧画面 


5. 「アクセス禁止 URL 」 のテキストエリアに 
HTTP 通信を拒否したい URL を入力す 
る 0 


ウエブ専用フィルタ設定(内—外） 


ファイアウォール〉詳細設定〉ルール設定(サイト共通）〉ウェブ専用フイルタ設定[ヘルブ] 



1 行につき1つの URL を記述してく ださI ^〇_ 

h+.t.p: ■" v:eb. t e ：： t. duminy/ ： ■? mp I e/ 


"3 


_ jlT 1 

アクセス禁止 URL チェックレペル f" レペル 2 ZJ _ 

設定 


アクセス禁止 URL チェックレベルの数値が大きくなるほど、記述したアクセ 
ス禁止 URL へのアクセスを強固に禁止します。 

その副作用として、アクセス禁止 URL に記述していない URL へのアクセス 
を誤認識して禁止する可能性が高くなります。 

各レペルでの、禁止規則は以下の通りです。 

,ベ n 1アクセス禁止 URL に指定されたものと前方一致する URL へのア 
レへル1|クセスを禁止します。 


11レペル2 | ip ァ F レ— i ¥持"^ f ['忑鳥备:‘ぞあ〒ベ七の ip ァドレスを Yif. 
てのアクセスも禁止します。 

瓦こ加え、ブラウザが接続先サィパ青報を省略 (HTTP ハ.0以前 
レペル3を使用することで可能)し、ファイアウォールが接続先ドメイン名 
を取得できなかった場合も禁止します。 


ウェブ専用フィルタ設定(内—外)画面 

• 1行につき1つの URL を指定してください。 URL として最大で1000バイトまでの文字列を指 
定できます。 

• URL の記述は、 「http://」 から始め、パス部分まで設定することができます。 

ただし、パスごとに設定する必要はなく、指定した文字列で始まる URL はすべてアクセス 
制御がかかります。たとえば、 「http://web.server.name/data1/」 と指定すると、 「http:// 
web.server.name/datal た Iata2/」 などもアクセス禁止になります。 

• URL の一部として、「*」が利用できます。たとえば 「web'server.name」 というように指定 
することもできます。 

この機能の対象ポートは、 HTTP (ポート番号 80) です。独自のポート番号で公開していたり、 
セキュリティで保護されている ( https ) ウェブサーバには使用できません。 
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6. アクセス禁止 URL チェックレベルをプル 
ダウンメニューより選択する。 

アクセス禁止レベルは数値が大きくなる 
ほど、設定した URL へのアクセス制御を 
強固にします。アクセスレベルの詳細に 
ついては、画面に表示される内容を確認 
してください。 

7. [設定]をクリックする。 

ウェプ専用フィルタ設定(内—外)結果画 
面が表示されます。 


ウエブ専用フィルタ設定(内—外） 


> ルール設定(サイト共通） 〉ウェブ専用フィルタ設定 [ヘルブ] 


1行につき1つの URL を記述してください。 


『 J I 

アクセス禁止 URL チェックレペル▲ル2」 — _ 


i アクセス禁止 URL チェックレベル—め数値が大きぐ^るほど、 f 
i ス禁止 URL へのアクセスを強固に禁止します。 

その畐 IJ 作用として、アクセス禁止 URL に記述していない URL へのアクセス 
を誤認識して禁止する可能性が高くなります。 


各レペルでの、禁止規則は以下の通りです。 

,ベ n 』アク tZ^lhURL にす■こものと前方一致する URL へのア 
レへル 1 を趾します。 

II(こ力晚、アクセ：^止 URL でれているホストが、 

レペル2 IP アドレスを持ってし、る場合、そのすベ 
-- •:します。 

TP ハ .0 以前 


|てのア: 


『ラウザが換 


八複数の 
すべての IP アドレスを指定し 

II |2(こ力吠、ブラウザが接続先サーバ情報を省略 (HTTP ノ 

レペル 3 を使用することで可能) U フ 7 イアウオールが接続先卜 
_ Iを取得できなかった場合も禁止します ◊ 

I レベル 4，に贩、 み〇外のトンネル機能を利用したアクセスすべてを禁 I 

ウェプ専用フイルタ設定(内—外)画面 


8. [ルール設定（サイト共通）に戻る]をク 
リックする。 

サイト共通ルールー覧画面が表示されま 
す。 


ウエブ専用フィルタ設定(内—外)結果 

ファイアウォール 〉 詳細設定 〉 ルール設定(サイト共通） > ウェブ専用フィルタ設定 〉設定結果 

設定しました。 

結果を適用」ボダノで 


ルール設定(サイト共通〉に戻る 


ルール設定（サイト共通）に戻る 


ウェブ専用フイルタ設定(内—外)結果画面 


9. 「内部からウェブ専用フィルタ経由で外 
部のウェブサイトを見る。」のチェック 
ボックスにチェックし、[確定]をクリツ 


ルール設定(サイト共通） 


ファイアウォール > > ルール設定(せ.. 1' 卜共通:| 


I 設麵歴 I か A/ こん設定(ネットワーク播成)の確觀 I 



[確定]をクリックしないと、ウェブ専用フィルタ設定をしてもフィルタリング機能は有効にな 
りません。逆にウェブ専用フィルタ設定をしないでフィルタリング機能を有効にしても効果は 
ありません。 


ファイアゥォ—ル機能の設定方法 
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詳細設定メニュー画面 


p-Oi^ 

• 「ルール設定」の中で、下に「編集中」と表示されている項目は、各項目の設定内容が編集中 
であることを示します。手順9で[確定]をクリックしますが、この段階では新しい設定内 
容を登録しただけで、 Express 5800 / SG 300には適用されていない状態であるため、詳 
細設定メニューには「編集中」と表示されます。作成した設定内容を適用するには[編集結果 
を適用]をクリックしてください。 

• [最終更新状態に戻す]をクリックすると、 Express 5800 / SG 300はフィルタリング機能 
の設定前の状態に戻ります。 


11 . 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る 0 


フィルタリング設定が Express 5800 /SG 300に適用され、設定結果画面が表示されます。 


12 . [詳細設定メニューに戻る]をクリックす 
る 0 


フ7イアウオール > 詳細設定 > 設定結果 


詳細設定メニューに戻る 



新しいルールを適用しました。 

詳細設定メニューに戻る j 
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内部から外部への通信におけるメール専用フィルタの設定 

内部ネットワークから外部ネットワークへの SMTP 通信のフィルタリング設定を行うことが 
できます。 SMTP 通信のフィルタリングでは、内部ネットワークから外部ネットワークへの 
SMTP 通信において、内部ネットワーク内の端末の IP アドレスを隠蔽します。 


I . Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2. ファイアウォールメニューの「ルール設 
定」がら[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



I ■圏浪^3 J 


状態表示 ログ•アラート表示 



ソフトウI /アッブ丁ート 


3. 詳細設定メニューの「ルール設定」から[サ 
イト共通ルール]をクリックする。 

ルール設定一覧画面が表示されます。 


サイト共通 ルール 


ファイアウォールメニュー画面 


フ7^70ォール ■ > 詳 


サーバ公聞ルール I 流入量制限ル~ル 


i —サィト共通ル^^―I— V )\. 

アドレスクル'-ゴ I • 

最終男 

I ユーザ設定丨 

W P VPN 設定ウポ 


—認証設定I ロッグ7ウト肢定」ヴループ K 定I 


F ラートファイル設定 


詳細設定メニュー画面 


ファイアゥォ—ル機能の設定方法 
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4. 「オプション」の「メール専用フィルタ設 
定」をクリックする。 

メ ー ル専用 フィ ルタ設定(内->外)画面が 
表示されます。 


ルール設定(サイト共通） 


ファイアウォール 〉 詳細設定 〉ルール設定(サイト共通） 


ルール t /ジ如 JU . 隱ホ.更新* 2 fT つ/こ艰 ■Sid 

No. | の前に 入I 

一覧末尾にルールを追加| 

選択したルールを削除1__ 

選択したルールを No. | の前に移肋I 


I 設定履歴 | かんたん設定(ネットワーク構成)の確認 | 

づ画面の「編集絰果を適用 J ボタンをクリックして〇 


14 内部 

" 全逞折/解除 


ファイア^オール自身 


https © I 


I 

及2ィルタ経由< 


i 由の指定は、外部へのアク12スのみでなく内部同士1 


部同士も含みま 

內内部からウェブ専用フィルタ経由で外部のウェブサイトを見る。( ウェブ専用フィルタ設定) 
r 内部からメール専用フイルタ経由で外吉13^メールを送る。（ メール専用フ- - 


5〇 ( メール専用 7- ::' 


(メール専用フィルタ設定) 


サイト共通ルール設定一覧画面 


5. 内部 IP アドレス隠蔽機能の利用の有無を 
選択する。 

• する 

内部 IP アドレス隠蔽機能を利用する 
場合、このラジオボタンをクリック 
します。 

• しない 

内部 IP アドレス隠蔽機能を利用しな 
い場合、このラジオボタンをクリッ 
クします。 


メール専用フイルタ設定(内—外） 


ファイアウォール > 詳細設定 > ルール設定(サイト共通) > メール専用フィルタ設定 


I haamagS Ig 





この機能の対象ポートは、 SMTP (ポート番号 25) です。独自のポート番号で公開しているメー 
ルサーバには使用できません。 


6. [設定]をクリックする。 

メール専用フィルタ設定(内—外)結果画面が表示されます。 


7. [ルール設定（サイト共通）に戻る]をク 
リックする。 

サイト共通ルールー覧画面が表示されま 
す。 


メール専用フィルタ設定(内—外)結果 


ファイアウォール 〉 詳細設定 〉 ルール設定(サイト共通） > メール専用フイルタ設定 > 設定結果 


ルール設定(サイト共通)に戻る 


A 


ルール設定（サイト共通）に戻る 
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メール専用フイルタ設定(内—外)結果画面 

























































































ルール設定(サイト共通） 


8. 「内部からメール専用フィルタ経由で外部 
へメールを送る。」のチェックボックスに 
チェックし、[確定]をクリックする。 

設定結果画面が表示されるので、[ルール 
設定(サイト共通）に戻る]をクリックしま 
す。 


※フィルタ経由の指定は、外部へのアクセスのみでなく内部同士も含みます0 
r 内部からウエブ専用フィルタ経由で外部のウエブサイトを見る。 
(7 内部からメール専用フイルタ経由で外部へメールを送る。(メー， 

mm\ 


ファイアウォール > 詳細設定 > ルール設定(サイト共通） 


No . | の前に JtAj 

一覧末尾にルールを追加 J 
選択したルールを則除| _ 

選択したルールを No . | の前に移肋| 


I 設定履歴 | かんたん設定(ネットワーク構成)の確認 | 
/プ画面の「編集結果を通用 J ボタン«ク《ノックしてください。 


12 内部 | 

内部「 

| M | 内部 : 

「全逛択/»?除 

て .,：。 

※フィルタ経由の指定は、外部へのア 
^ r 内部からウヱブ専用フィルタ 






國 

厂1 

内部 

外部 

m 

daytime 



] 

4 

内部 

内部 

ぎ 

© 


「任意] 

10.10.10.1 


httfi 

© 


任意 

10.10.10.2 


htlB§ 

© 


5 

任意 

10.10 .10.3 


smtp 

© 


6 

任意 

10.10.10.4 


ftfi 

© 


7 

任意 

内部 

10.10.10.5 


dns 

© 


8 

外部 


httfi 



9 

内部 

外部 


https 

© 


10 

内部 

外部 


smtp 

© 


U 

内部 

外部 


ftfi 

© 


12 

内部 

外部 


dns 

© 


13 

内部 

外部 


ntB 

© 


14 

内部 

ファイアウオール自身 

b«ES 




•のアクセスのみでなく内部同士も含みます。 

内部からウェブ専用フィルタ経由で外部のウェブサイトを見る。( ウェブ専用 フィルタ 設定) 
闳内部からメール専用フィルタ経由で外部ヘメールを送る ◊ ( メール 専用 フィルタ 設定 ) 

確定丨 


サイト共通ルール設定一覧画面 


[確定]をクリックしないと、メール専用フィルタ設定をしてもフィルタリング機能は有効にな 
りません。逆にメール専用フイルタ設定をしないでフィルタリング機能を有効にしても効果は 
ありません。 


9. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 



VPN 験定ウィザ'-ド | VPN バス K 定| VPN パラメ'-夕肢定 


ログ•アラートフ W ル設定 


詳細設定メニュー画面 


「ルール設定」の中で、下に「編集中」と表示されている項目は、各項目の設定内容が編集中 
であることを示します。手順8で[確定]をクリックしますが、この段階では新しい設定内 
容を登録しただけで、 Express 5800 / SG 300には適用されていない状態であるため、詳 
細設定メニューには「編集中」と表示されます。作成した設定内容を適用するには[編集結果 
を適用]をクリックしてください。 

[最終更新状態に戻す]をクリックすると、 Express 5800 / SG 300はフィルタリング機 
能の設定前の状態に戻ります。 


10. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K ] をクリックす 

"〇) 〇 

フィルタリング設定が Express 5800 / SG 300に適用され、設定結果画面が表示されます。 


I . [詳細設定メニューに戻る]をクリックす 
る0 


ファイアウォニ ik > 韵 


詳細設定メニューに戻る 


新 U 、ルールを適用しました。 

詳細設定メニュ 
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グループルール 


グループルールとは、グループに所属する ユーザが 認証を行ラことで適用されるルールのこ 
とです。ここでは、サイト共通ルールでの設定に対し、グループ単位で例外的に許可する 
ルールを設定します。たとえば、以下のよラな設定ができます。 

• サイト共通ルールでは HTTP 通信を拒否するが、ある部署に所属するメンバだけには、 
指定する端末への HTTP 通信を許可する 

• サイト共通ルールではサーバへのアクセスを拒否するが、プロジェクトメンバに対して 
だけは、プロジェクトで利用するサーバへのアクセスを許可する 

Express 5800 / SG 300は、ユーザの所属しているグループのルールに 従って 通信の種別や 宛 
先から通信の許可、アクセスログの取得などの処理を判断します。ユーザが所属するグルー 
プルールにおいては上位に表示されるものから順番に評価を行います。 

^ ユーザ認証実行後、有効時間内は所属しているグループルールが適用されます。有効時間内 
を過ぎてから、ユーザがグループルールで許可された Express58 〇〇 /SG3 〇〇を超える通信を行 
う場合は、再度□グインする必要があります。 

グループルールでは、以下のよラな設定 • 管理を行ラことができます。 

• グループルールの設定内容の確認 
• グループルールの追加 
• グループルールの削除 
• グループルールの更新 

I n-O あらかじめグループの設定を行っていないとグループルールの設定 • 管理を行うことはでき 
ません。グループの設定については、229ページの「グループ設定」を参照してください。 
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グループ)レールの設定内容の確認 

すでに設定したルールはグループルールー覧画面から確認することができます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 


3. 詳細設定メニューの「ルール設定」から[グ 
ループルール]をクリックする。 

グループルールー覧画面が表示されま 
す。表示される内容は以下の通りです。 


詳細設定メニュー画面 


項目 

説明 

ク'ループ番号 

[〇〇 1] のような形式でシステムがグループに付与した番号が表 
示されます。 

グループ名 

グループ名です。 

認証有効時間 

ユーザ認証後ク'ループルールが適用される有効時間です。 

トランスポート VPN パス 

VPN パスを使用するがどうがを表示します。 

No. 

ルールの番号です。通信を通すか否がの判定の際は、番号の 
若いルールが6順番に評価した結果、最初にマツチしたルー 
ルに基づいて処理されます。 

発信元 

「ユーザが使用中のホスト」です。 

宛先 

バケツトの宛先を表す IP アドレス、ネツトワークアドレス、 
あるいは内部、外部、 DMZ、 任意、ファイアウォール自身、 
指定した宛先以外のいずれがです。 
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項目 

説明 

通信種別 

バケツトのプロトコル種別を表します。 

処理 

念 

バケツトを通します。 


编 

通信のログを残します。 

記録 


通信のログを残すとともにアラート情報も残しま 
す。 


[空白] 

ログもアラートも残しません。 


ルール設定（グルーブ） 


套〉ルール設定(グルーブ） 


かんたん設定(ネットワ■-ク構成)の確認 

ルールの追加 • 則除 • 更新を行った埸合は、詳細設定トッゴ画面の「編集結果を適用」ポタンをクリックしてください0 

一覧末尾にグルーブルールを追加」 

選択したルールを 則除 1 1頁に表示するグル-プ P 件 反映I 

全3件中1〜3件目を表示 —K の20件丨次の20件— 

[001] group ； 認証有効時間:60分 このヴルーブルール到枝則除 | 

使用ずる 

r 1ーザが使用中のホスト 内部I 任意 

ユーザが使用中のホスト I 外部1 「http 


~i~R 



I 浴 

— K の 20 件丨 1 丨次の20件— 


グループルールー覧画面 


•:一 [120 

画面右上の「かんたん設定（ネットワーク構成）の確認」をクリックすると、かんたん設定で設定 
した内容が別ウィンドウで表示されます。 

上記の画面を例にして具体的なグループルールー覧の事例を示します。 


[001 ] のグループルールでは、 g「oup2 に所属するユーザは Express 5800 /SG300 上での認証に成 
功すると、以下のルールが適用されます。認証の有効時間は60分です。 

ルールの1行目：ユーザの端末と内部ネットワークにある端末間のすべての通信を許可する 
ことを表します。 

ルールの2行目：ユーザの端末から外部ネットワークへの HTTP 通信を許可することを表し 
ます。 




























グループルールの追加 

1 . Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 




ファイ r ウォールメニュー画面 


3. 詳細設定メニューの「ルール設定」から[グ 
ループ ルール] をクリックする。 

グループルールー覧 画面が表示されま 
す。 



流入量制限ルール 


アドレスグループ 


EE 肢定| □ックアウト E 定| グルーゴ肢定 J 


VPN 設定ウイザード」 VPNK ス設定」 VPMK ラメー5設定 


アラ-トアクション設定 


詳細設定メニュー画面 


4. 「一覧末尾にグループルールを『追加』」を 
クリックする。 


ルール設定(グルーブ） 


藍〉ルール設定(グルーブ） 


かんたん設定(ネットワーク 



— S 5 の20件|1|次の20件-» 


グループルールー覧画面 
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5. ルールを追加するグループ名のラジオボ 
タンをクリックし、「選択したグループの 
グループルールを『追加』」をクリックす 
る。 

選択した グループのルールー覧 画面が表 
示されます。 


選択したグルーブのグルーブルールを追加 j 



選択したグルーブのグルーブルールを M 



グループ選択画面 


グループルールの一覧画面からグループ名をクリックすることでも、選択したグループのルー 
ルー覧画面を表示することができます。 


6 . 


r 認証有効 時間」 のァ キストボックスに、 グル-ブル-ル 

ユーザ認証の後、ルールを有効にしてお ファ"〇 7 ウォール > 詳細設定 > ルール設定(グルーブ) > グルーブルール 

く時間を分単位で入力する0 



選択したグループのルールー覧画面 


[ヘルブ] 


設定した有効期限を過ぎてから、ューザがグループルールで許可された Express 5800 /SG300 を 
超える通信を行う場合は、再度ログインする必要があります。 


7. ある特定のアドレスがら通信を行う際に 
vpn を利用する場合は、 r トランスポート 

VPN パスを『変更』」をクリックする。 - 

フ7イアウオール > 詳細設定 〉 ルール設定(グルーブ) > グループル“ル [ヘルプ] 



選択したグループのルールー覧画面 




トランスポート VPN パスはあらかじめ VPN パスを設定していないと表示されません。トランス 
ポート VPN パスの設定については、228ぺージの 「VPN 設定」を参照してください。 





















































8. 表示されるトランスポート VPN パスの中 
がら利用する VPN パスのチェックボック 
スをチェックし、[登録]をクリックす 
る。 

選択したグループルールの一覧画面に戻 
ります。引き続き、グループルールの設 
定を行ラ場合は、手順9に進みます。こ 

づでバ ]| y_-f II ノ —II ノ^中之放マオス十呈 


トランスボート VPN バス選択 


ファイアウォール > 詳細設定 > ルール設定(グルーブ) > グルーブルール > トランスポート VPN ノ くス選択 


グルーブルールに登録するトランスボート VPN^ \♦スを選択してください。 


| I •/ .乙 i I a 乙 I OO . IUU . I 

r 全逞折/解除 


_ |192.168.30.91 F ランスポートモード 自動鍵 
~ I 192.168.30.91 |"トランスボートモード 自動鍵 


-^1 

r 全逞折/解除 

トランスボート VPN / 《スを変更| 

一覧末尾に 加 I I 


モド 

鍵交 


|1 [ T 92.168 .100.1 [ i 92.168 .30.91 

登索 

トランスボートモード 

弄 

自動鍵 


選択したグループのルールー覧画面 

10. グループルール設定追加画面に表示される各項目を設定する。 


合は、手順13に進みます。 


厂1 

192.168.80 .3 

[7 2 

192.163.1 00.1 


厂全逞折/解除 
登錄 I 


トランスポート VPN パス選択画面 


一 ■ 

選択したグループのルールー覧画面で、追加した VPN パスの番号をクリックすると、その VPN 
パスの詳細設定を確認することができます。 


9. 「一覧末尾に『追加』」をクリックする。 

グループ ルール 設定追加画面が表示され 
ます。 


ファイアウォール > :: ぐ:■力し—ブ > グルーブルール 



項目 

説明 

処理 

許可 

バケットを通します。設定の変更はできません。 

発信元 

ユーザが使用 
中のホスト 

ユーザが使用している端末を発信元とする通信にルール 
を適用します。設定の変更はできません。 

宛先 

ューザ指定 

ユーザの指定した宛先に対し処理を適用します。テキス 
トエリアにアドレスを直接入力するか、アドレスグルー 
プをリストから指定します。アドレスグループが6指定 
する場合は、アドレスグループのリストからアドレスグ 
ループを選択し、 [—] をクリックします。クリックすると 
テキストエリアに選択したアドレスグループが挿入され 
ます。アドレスグループのリストには、178ページの 
「アドレスグループ」で登録したものが表示されます。 

外部 

外部ネットワークへの通信です。 

内部 

内部ネットワークへの通信です。 

DMZ 

DMZ への通信です。 

任意 

宛先に関わらず処理を適用します。 

ファイア 
ウォール目身 

ファイアウォール自身への通信です。 

上記指定以外 

チェックボックスをチェックすると、選択した宛先以外 
の通信に対し処理を適用します。たとえば、 「 DMZ 」 を 
選択し「上記指定以外」をチェックすれば DMZ 以外を宛 
先とする通信に対し処理を適用します。 
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項目 

説明 

通信種別 

ユーザ指定 

ユーザの指定したプロトコル種別に対して処理を適用し 
ます。テキストエリアにプロトコル種別を直接入力する 
かサービス種別をリストから指定します。サービス種別 
がら指定する場合は、サービスのリストからサービス種 
別を選択し、 [—] をクリックします。クリックするとテキ 
ストエリアに選択したサービスが挿入されます。サービ 
スのリストには、189ページの「サービス」で登録した 
ものと標準定義サービスが表示されます。 


任意 

通信種別に関わらず処理を適用します。 


なし 

□ク'もアラートも残しません。 

記録 

ログ、 

通信のログを残します。 


アラート 

通信のログを残すとともにアラート情報も残します。 


• 宛先が含むァドレスグループのメンバの数の合計は、直接入力したァドレスの数を含めて最 
大50個までです。 

• 通信種別が含むサービスのメンバの数の合計は、直接入力した要素の数を含めて最大50個 
までです。 


グルーブルール 設定追加 


フアイアウオール 〉 詳細設定 〉 ルール設定(グルーブ〉 〉 グルーブルール 〉設定追加 [ヘルブ] 

グルーブ2 

I 許可念 


ユーザが使用中のホスト 

「タューザ指定 r 外部 

r 内部 r dmz r 任意 r ファイア 0 オール 自身 

ぼ 1 ぷ 3D.22 

厂上記職以外 

J 公蘭サーバ 

ダ:!、 

- ザ指定 r 任意 

アプリケーションが 

http 

https 

— 3 

」 -i 

」 t? ros d 

P ? fdU r ログ _ 

r アラート + ログ 』 


登錄 I 


グループルール設定追加画面 


11. [登録]をクリックする。 

グループルール追加結果画面が表示されます。 


ク'ループルールの登録に失敗した場合は、エラー内容を示す画面が表示されます。 



































12. [グループルールに戻る]をクリックす 

"〇) 〇 

追加したルールが反映された、選択した 
グループのルールー覧画面が表示されま 
す0 


グルーブルール追加結果 


> ルール設定(グルーブ) > グルーブルール > 追加結果 


下記のとおり、グルーブルールを追加しました。 

groupd 


「許可© 

I 


ユーザが使用中のホスト 


任意 ， 
L^lfs 

「□グ?! 


グルーブルールに戻る 

A 


ヴルーゴルールに戻る 


グループルール追加結果画面 


13. [登録]をクリックする。 

グループルール 登録結果画面が表示され 
ます。 


フアイアウオール〉 I 与 


P 分 


一覧末尾 （ 

選択 L /こルー ji 


追加] 
1 しを刖除 j 


[r 1 

ユーザが使用中のホスト 

外部 

| b «2 


I m 

r^~i 

p —ザが使用中のホスト 

外部 

任意 

「© 

r^ri 


r 全逞択/解除 

トランスボート VPN^ 《スを変更1 

I —I 認獄 •yTMaifcM 

1192.168 .100.1 192.168 .30.91 トランスポート 1 ! 

巧」 

I ^ J ] 


選択したグループのルールー覧画面 


14. [ルール設定(グループ）に戻る]をクリツ 
クする。 


ファイアウォール > 詳細設定 > ルール設定(グルーブ) > グルーブルール〉登録結果 


グルーブルールを設定しました。 

ルール 設定(グル'-プ )1 こ戻る 」 


八 


ルール設定(ヴルーゴ)に戻る 


グループルール登録結果画面 
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詳細設定メニュー画面 


p-Oi^ 

• 「ルール設定」の中で、下に「編集中」と表示されている項目は、各項目の設定内容が編集中 
であることを示します。手順11で[登録]をクリックしますが、この段階では新しい設定内 
容を登録しただけで、 Express 5800 / SG 300には適用されていない状態であるため、詳 
細設定メニューには「編集中」と表示されます。作成した設定内容を適用するには[編集結果 
を適用]をクリックしてください。 

• [最終更新状態に戻す]をクリックすると、 Express 5800 / SG 300はルールの追加前の状 
態に戻ります。 


16. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る。 


新しく追加したルールが Express5800/SG3 ◦〇に適用され、設定結果画面が表示されます。 


17. [詳細設定メニューに戻る]をクリックす 
る。 


詳細設定メニューに戻る 



新 LO ルールを適用しました。 
B 細設定メニューに戻る J 
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グループルールの削除 

設定したグループルールを削除することができます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



1 詳細設定 


LBM 織 


状態表示| □ヴ•アラート表示 


3. 詳細設定メニューの「ルール設定」から[グ 
ループルール] をクリックする。 

グループルールー覧 画面が表示されま 
す。 


確認/登錄 J 

I ソフトウ x アアップデート | パックアップ.リストア 」| 

ファイアウォールメニュー画面 


1_ンルーゴルール」| 

\ 詳細 1S 

フ7イアウ オール > 詳細設定 W 


アドレスヴル '- プ I ザービス 




最終更新日： 2004年09月16日17時34分56秒 


ユーザ設定 認証設定」 


VPN 設定ウィザード J VPNH ス設定」 VPN パラメータ設定 


詳細設定メニュー画面 


4. 肖II除したいルールの「N0」の横に表示され 
ているチェックボックスをチェックし、 
「選択したルールを『削除』」をクリックす 
■〇) 〇 


ルール設定（グルーブ） 


フ7イアウオール 〉 詳細設定 〉ルール設定(グルーブ） 


一覧末尾にグルーブルー JI 
選択したルールを 
全3件中1〜3件目を表示 


|しを mm \ 
則除」 


ん設定(ネ 


1頁に表示するグループ|2〇 件 _ 

—K の20件丨次の20件— 



N 0. 

発信元 

[001] firouo 2 認証有効時間：60分 

[F ランスポート VPN バス 

\r i 

ユーザが使用中のホスト 

[r 2 ~ 

ユーザが使用中のホスト 

NO . 

発信元 I 

[002] nroup 3 認証有効時間: 60 分 


|r 1 

p —ザが使用中のホスト 

[7 2 

ユーザが使用中のホスト 
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®L[i2n 

• 「全選択/解除」のチェックボックスをチェックすると、削除可能なルールのすべてを一度に 

選択できます。逆に、「全選択/解除」のチェックボックスのチェックを外すと、いったん 
チェックボックスにチェックをつけたすベてのルールを削除対象から外すこともできます。 

• グループルールー覧からグループ名をクリックし、選択したグループのルー ルー 覧画面から 
ルールを削除することもできます。 

• [このグループルール全体を削除]をクリックすると、選択したグループのグループルールが 
すべて削除されます。 


5. 別ウィンドウで削除確認のダイアログメツセー ジが 表示されるので[〇 K] をクリツクする。 
グループ ルー ルが 削除され、 ルールが 削除された グループルールー覧 画面が表示されます。 

[キャンセル]をクリックすると、削除されずにグループルールー覧画面に戻ります。 



詳細設定メニュー画面 


p-Oi^ 

• 「ルール設定」の中で、下に「編集中」と表示されている項目は、各項目の設定内容が編集中 
であることを示します。手順6で[登録]をクリックしますが、この段階ではルールの削除 
は Express 5800 / SG 300には適用されていない状態であるため、詳細設定メニューには 
「編集中」と表示されます。作成した設定内容を適用するには[編集結果を適用]をクリックし 
てください。 

• [最終更新状態に戻す]をクリックすると、 Express 5800 / SG 300はルールの削除前の状 
態に戻ります。 


7. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る 0 


ルールの削除が Express 5800 /SG 300に適用され、設定結果画面が表示されます。 


8. [詳細設定メニューに戻る]をクリックす 
る 0 


詳細設定 


フ7イアウオール > 詳細雖 > 言跪結果 


詳 SiH 設定メニューに戻る 



新 U 、ルールを適用しました。 

詳細設定メニューに戻る I 
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グループルールの更新 

一度設定したグループルールの内容を変更することができます。 


1 . Management Console トップ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」か6[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 


3. 詳細設定メニューの「ルール設定」から[グ 
ループルール] をクリックする。 

グループルールー覧 画面が表示されま 
す。 




ソフトウ X アアッゴ丁一 卜 


ファイアウォールメニュー画面 


I ヴ_)レーブ J レー)レ I I 

\ 詳細器 

フ7イァウォ-ル > 詳細設定 t \ 


サーバ公明;レール 


アドレスグループI サービス 


VPN 肢定ウイザ-ド I VPNM ♦ス設定| VPN ハ♦ラメータ設定 


詳細設定メニュー画面 


4. ク'ループ名をクリックする。 

選択したグループのルールー覧画面が表 
示されます。 


グループ名 


ルール設定（グルーブ） 


ファイアウオール 〉 詳細設定 〉ルール設定(グルーブ） 


かんたん設定(ネットワーク構成)の確認 


ん設定(: 

7リックして< 


一覧末尾にグルーブルールを追加] 
選択したルールを 肖I腾 ] 

全3件中1〜3件目を表示 


1頁に表示するヴル'-ゴ|2〇 件 _ 

—K の20件|次の20件— 



グループルールー覧画面 
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5. 変更したいルールの 「No. 」をクリックす 
る。 

グループルール 設定更新画面が表示され 
ます。 


>ルール設定(グルーブ)〉グルーブルール 


『的 « 

一覧末尾に 追加」 

選択 U こルールを則除1 


\ _^ 

トニ 

IT, 




i ユーザが使用中のホスト 


)i*l 



VPN バス 

r 接続先 ip アドレス1自 ip アドレス 

モ-ド 

鍵交換方式| 

|1192.168 .100.1 192.168 .30.91 

トランスボートモード 

自動鏹 


選択したグループのルールー覧画面 


6. グループルール設定更新画面に表示される各項目を設定する。 


項目 

説明 

処理 

許可 

バケットを通します。設定の変更はできません。 

発信元 

ユーザが使用 
中のホスト 

ユーザが使用している端末を発信元とする通信にルール 
を適用します。設定の変更はできません。 


ューザ指定 

ユーザの指定した宛先に対し処理を適用します。テキス 
トエリアにアドレスを直接入力するか、アドレスグルー 
プをリストから指定します。アドレスグループから指定 
する場合は、アドレスグループのリストからアドレスグ 
ループを選択し、 [—] をクリックします。クリックすると 
テキストエリアに選択したアドレスグループが挿入され 
ます。アドレスグループのリストには、178ページの 
「アドレスグループ」で登録したものが表示されます。 


外部 

外部ネットワークへの通信です。 

宛先 

内部 

内部ネットワークへの通信です。 


DMZ 

DMZ への通信です。 


任意 

宛先に関わらず処理を適用します。 


ファイア 
ウォール目身 

ファイアウォール自身への通信です。 


上記指定以外 

チェックボックスをチェックすると、選択した宛先以外 
の通信に対し処理を適用します。たとえば、 「DMZ」 を 
選択し「上記指定以外」をチェックすれば DMZ 以外を宛 
先とする通信に対し処理を適用します。 

通信種別 

ューザ指定 

ユーザの指定したプロトコル種別に対して処理を適用し 
ます。テキストエリアにプロトコル種別を直接入力する 
かサービス種別をリストがら指定します。サービス種別 
がら指定する場合は、サービスのリストがらサービス種 
別を選択し、 [—] をクリックします。クリックするとテキ 
ストエリアに選択したサービスが挿入されます。サービ 
スのリストには、189ページの「サービス」で登録した 
ものと標準定義サービスが表示されます。 


任意 

通信種別に関わらず処理を適用します。 


なし 

ログもアラートも残しません。 

記録 

ログ 

通信のログを残します。 


アラート 

通信のログを残すとともにアラート情報も残します。 
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■ nyf\ 

宛先が含むァドレスグループのメンバの数の合計は、直接入力したァドレスの数を含めて最 
大 50 個までです。 

通信種別が含むサービスのメンバの数の合計は、直接入力した要素の数を含めて最大 50 個 
までです。 


グルーブルール設定更新 



グループルール 設定更新画面 


7. [登録]をクリックする。 

グループルール更新結果画面が表示されます。 

グループルールの更新に失敗した場合はエラー内容を示す画面が表示されます。 


8. [グループルールに戻る]をクリックす 
"〇) 〇 

更新したルールが反映された選択したグ 
ループのルールー覧画面が表示されま 
す。 


グルーブルール更新結果 


フアイアウオール〉 P 


> グルーブルール 〉更新結果 


下記のとおり、グルーブルールを勤 DU ました。 

groupj 


許可® _ 

|ユーザが使用中^ 


I 旨 —- 


グループルールに戻る 

A 


ヴルーゴルールに戻る 


グループルール 更新結果画面 
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p-Oi^ 

• 「ルール設定」の中で、下に「編集中」と表示されている項目は、各項目の設定内容が編集中 
であることを示します。手順7で[登録]をクリックしますが、この段階では新しい設定内 
容を登録しただけで、 Express 5800 / SG 300には適用されていない状態であるため、詳 
細設定メニューには「編集中」と表示されます。作成した設定内容を適用するには[編集結果 
を適用]をクリックしてください。 

• [最終更新状態に戻す]をクリックすると、 Express 5800 / SG 300はルールの更新前の状 
態に戻ります。 


10. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る。 


更新したルールが Express 580 0/SG 300に適用され、設定結果画面が表示されます。 


11 . [詳細設定メニューに戻る]をクリックす 
る。 


詳細設定 


ファイアウォール 〉 詳細設定 〉 


詳細設定メニューに戻る 



新しし、ルールを適用しました。 

詳細設定メニューに戻る | 



































サーバ 公開 ルール 


サーバ公開ルールとは、 Express 5800 /SG 300を導入した環境において、 DMZ または、内 
部ネットワーク上にあるサーバを外部ネットワークに公開する際に、アドレス変換 (NAT) お 
よびウェブ/メール専用フィルタの制御を行ラためのルールのことです。 

サーバ公開ルールでは、以下のよラな設定 • 管理を行ラことができます。 

• サーバ 公開 ルールの 設定内容の確認 

• サーバ 公開 ルールの 追加 

• サーバ 公開 ルールの 削除 

• サーバ公開ルールの更新 

• 外部から内部への通信におけるウェブ専用フィルタの設定 
• 外部から内部への通信におけるメール専用フイルタの設定 


サーノ (公開 ルールの 設定内容の確認 

かんたん設定ウィザードから設定したサーバ公開ルールや、すでに設定したルールはサーバ 
公開ルールー覧 画面 から確認することができます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



I 奢.至^^^^^^^^^^^ 

状態表示 I ログ•アラート表示 J 



ソフトウェアアップデート I パックアップ•リストア | 


ファイアウォールメニュー画面 
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3. 詳細設定メニューの「ルール設定」から 
[サーバ公開ルール]をクリツクする。 



詳細設定メニュー画面 


サーバ公開ルールー覧画面が表示されます。表示される内容は以下の通りです。 


項目 

説明 

公開 IP アドレス 

外部ネットワークへ公開するサーバの IP アドレスです。 

ポート 

外部ネットワークへ公開するサーバのポート番号です。 

内部 IP アドレス 

内部ネットワークでのサーバの IP アドレスです。 

ポート 

内部ネットワークでのサーバのポート番号です。 

記録 


通信のログを残します。 

[空白] 

ログもアラートも残しません。 


ルール設定(サーバ公開） 


ファイアウオール > 詳細設定 > ルール設定(サーメ ■) [ヘルブ] 

かんたん設定(ネットワー匁冓成)の確認 

ルールの追加•削除•更新を行なった場合は、詳細設定トッブ画面の「編集結果を適 


—覧末尾にルールを进加| 
選択したルールを 削除| 


12911 

[T 92.168 .30.1 

tcp/443 

192.168 .20.1 

|443 | 

2 

192.168 .30.1 

ftcp/25 

192.168 .20.1 

25 

|r 3 

192.168 .30.5 

全部 

192.168.20.2 

全部 

\w 4 

[T 92.168 .30.40 

— | 全部 

_ [l92.168.20.10 

全部 


r 全逞折/解除 


サーバ 公開 ルール ー覧画面 


■: • 画面右上の「かんたん設定（ネットワーク構成)の確認」をクリックすると、かんたん設定 

で設定した内容が別ウィンドウで表示されます。 

• 内部ネットワーク上の端末のアドレスをすべて本ファイアウォールのアドレスで置き換 
える機能 (NAPT) は、かんたん設定のインタフヱースの選択画面から設定します。 













































n -〇 • この画面でサーバ公開の設定をしても、アクセス許可はされません。サーバへのアクセ 
ス許可についてはサイト共通ルール画面からルールを設定する必要があります。サイト 
共通ルール設定の際は、公開 ip アドレスではなく、内部 ip アドレスで設定してくださ 
い0 

• Express 5800 / SG 300の外部インタフェースの IP アドレスを公開アドレスとして使 
用することもできますが、公開するポート番号がユーザ認証ウェブ （106 ページ参照) 
と重複しないよう注意してください。 

• メール専用フィルタ設定やウェブ専用フィルタ設定、不正アクセス対策(アドバンスレ 
ベル)設定は、サーバ公開ルールに従ってアクセス制限を行います。 

夕+部ネットワークからアクセスするウェブサーバやメールサーバは、すべて登録してく 
ださい。 


具体的なサーバ公開ルールー覧の事例を示します。 


I No . 

I 公開 IP アドレス 

I ボート 

1 内部 ip アドレス 

I ボート|記録 I 

I " 


192.168 .30.1 

tcp /443 

192.168 .20.1 

[443 

2~ 


192.168 .30.1 

tcp /25 

192.168 .20.1 

25 

厂 

3 

1192.168 .30.5 

—择部— 

192.168 .20.2 

全部 


4 

192.168 .30.40 

— 择部 — 

1192.168 .20.10 

—匼部 一| J 


サーバ公開ルールー覧画面 


ルールの1行目：内部アドレス192.168 .20.1 の端末が TCP ポート443番で待ち受けている 
サービスを、外部ネットワークへ IP アドレス192.168.30.1、 TCP ポート 
443番で公開することを示しています。 

ルールの2行目：内部アドレス192.168 .20.1 の端末が TCP ポート25番で待ち受けているサー 
ビスを、外部ネットワークへ IP アドレス192.168.30.1、 TCP ポート25番 
で公開することを示しています。 

ルールの3行目：内部アドレス192.168 .20.2 の端末が待ち受けているサービスを、外部ネッ 
トワークへ IP アドレス192.168.30 .5 で公開することを示しています。 

ルールの4行目：内部アドレス192.168 .20.10 の端末が待ち受けているサービスを、外部 
ネットワークへ IP アドレス192.168 .30.40 で公開することを示していま 
す0 
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サーバ 公開 ルールの 追加 

必要に応じてサーバ公開ルールを追加することができます。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



ファイアウォールメニュー画面 


3. 詳細設定メニューの「ルール設定」がら 
[サーバ公開ルール]をクリックする。 

サーバ公開ルールー覧画面が表示されま 
す。 



ユーザ肢定| 15証設定I ロックアウト設定|グループ肢定 




VPN 設定ウイザード| VPN；f ス設定丨 VPN バラメー;5設定 | 



ロタ•アラ-トファイル毅定 I アラ—トアクシ S ン肢定 | 


詳細設定メニュー画面 


4. 「一覧末尾にルールを『追加』」をクリック 
する。 

ルール設定追加画面が表示されます。 


ルール設定(サーバ公開） 


E > ルール設定(サーバ公開） 


かんたん設声(ネットワーク J 


ダノをクリック c ださい。 





サーバ公開ルールー覧画面 





















































> ルール設 定(サーメ く公開）〉ルール設定追加 


OS 


• ボートの指定^しな、 

へ TCP 外部| —内部| 
^ udp 外部! —内部! 


回 

ルール設定追加画面 


5. ルール設定追加画面に表示される各項目 
を入力する。 

• 外部公開 IP アドレス 

外部ネットワークへ公開する IP アド 
レスを入力します。 

• 内部 IP アドレス 

サーバの実際の IP アドレスを指定し 
ます。「外部公開 IP アドレス」と異な 
る場合は、その IP アドレスを入力し 
ます。「外部公開 IP アドレス」と同じ 
場合は、「アドレス変換しない」をク 
リックします。 

• ポート 

ポート番号の指定を行うがどうかを 
選択します。特定のポート番号につ 
いてのみ公開するが、ポート番号の 
変換を行ラ場合には、外部ネット 
ワークへ公開するポート番号と、対 
応する内部ネットワークのポート番 
号を入力します。 

• 記録 

作成するルールに該当する通信バケットを検出したとき、ログ情報としてのみファイルに出 
力するか、それともファイルにはいっさい記録しないがを設定します。 

6. [登録]をクリックする。 

ルール設定追加結果画面が表示されます。 


[ルール設定（サーバ公開）に戻る]をク 
リックする。 

追加したルールが反映されたサーバ公開 
ルールー覧画面が表示されます。 


ルール設定追加結果 


フ 7-TT0 オール〉 


> ルール設定(サーメ讼開) > ルール設定追加〉ルール設定追加結果 


下記のとおり、ルール設定(サーノ讼開)追加しました。 

1192.168 .30.40 



」_レ'-ル設サーバ公聞〉に戻る 

/L_ 


ルール設定（サーバ公閉）に戻る 


ルール設定追加結果画面 
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8. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 


p-oara 

• 「ルール設定」の中で、下に「編集 
中」と表示されている項目は、各項 
目の設定内容が編集中であること 
を示します。手順6で[登録]をク 
リックしますが、この段階では新 
しい設定内容を登録しただけで、 
Express 5800 / SG 300には適 
用されていない状態であるため、 
詳細設定メニューには「編集中」と 
表示されます。作成した設定内容 
を適用するには[編集結果を適用] 
をクリックしてください。 

• [最終更新状態に戻す]をクリック 
すると、 Express 5800/ 
SG 300はルールの追加前の状態 
に戻ります。 



詳細設定メニュー画面 


9. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る。 


新しく追加したルールが Express5800/SG3 ◦〇に適用され、設定結果画面が表示されます。 


11. [詳細設定メニューに戻る]をクリックす 
る。 


詳細設定 


ファイアウォール > 詳細設定 〉 


詳細設定メニューに戻る 



新しし、ルールを適用しました。 

詳細設定メニューに戻る | 









































サーバ 公開 ルールの 削除 

不要になったサーバ公開ルールを削除することができます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



I 



状態表示| ログ•アラート表示 


確謬/登録 I 


ソフトウェアアップデート J パッ w ップ•リストア | 

ファイアウォールメニュー画面 


3. 詳細設定メニューの「ルール設定」から 
[サーバ公開ルール]をクリックする。 

サーバ公開ルールー覧画面が表示されま 
す。 



アドレスヴループ 


— is 証設定I ロッグ？ウト肢定」プループ験定I 


F ラートファイル設定 


詳細設定メニュー画面 


4. 肖II除したいルールの「N0」の横に表示され 
るチェックボックスをチェックし、「選択 
したルールを『削除』」をクリックする。 


ルール設定(サーバ公開） 


フアイアウオール 〉 詳細設定 〉ルール設定(サーメ S 公開） 


K 激!行なつブ 


かんたん設定(ネットワーク1 
U 詳細設定トッブ画面の「編集結果を適 


一覧末尾にルールを进加 I 
選択したルールを 



1192.168 .30.1 tcp/443 

192.168 .20.1 

443 


| 1192.168 .30.1 |tcp/25 

[i" 92.168 .20.1 

^5 


r 3 1192.168 .30.5 全部 

[192.168.20.2 

[lip 


P 1 192.168 .30.40 全部 

[192.168.20.10 

,13 



r ウェブサーバをウェブ専用フィルタ経由で公開する。( ウェブ専用フィルタ設定) 

|「メールサ—笾メール専用フイルタ経由で公開する。( メール専用フイルタ設定) 


サーバ公開ルールー覧画面 


サーバ公閉ルール_ 


選択した ルールを n : 
192.163 .30.1 



[7 4 


192.163 .30.1 


192.163 .30.5 


192.163 .30. 40 
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• 一覧の背景がピンク色の項目は、「かんたん設定ウィザード」を経由して設定されたルール 
であることを示しています。このルールについては、サーバ公開ルールの設定から削除する 
ことはできません。 

• 「全選択/解除」のチェックボックスをチェックすると、削除可能なルールのすべてを一度に 

選択できます。逆に、「全選択/解除」のチェックボックスのチェックを外すと、いったん 
チェックボックスにチェックをつけたすベてのルールを削除対象から外すこともできます。 

5. 別ウィンドウで削除確認のダイアログメツセージが表示されるので[〇 K] をクリックする。 


•:一[120 

[キャンセル] をクリックすると、削除されずにサーバ公開ルール _ 覧画面に戻ります。 
ルールが削除されたサーバ公開ルールー覧画面が表示されます。 


6. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 

P-OBM 

• 「ルール設定」の中で、下に「編集 
中」と表示されている項目は、各項 
目の設定内容が編集中であること 
を示します。手順5で [0 K ] をク 
リックしますが、この段階では 
J レー J レの肖！!除は Express 5800/ 
SG 300には適用されていない状 
態であるため、詳細設定メニュー 
には 「編集中」と表示されます。作 
成した設定内容を適用するには[編 
集結果を適用]をクリックしてくだ 
さい0 

• [最終更新状態に戻す]をクリック 
すると、 Express 5800/ 
SG 300はルールの削除前の状態 
に戻ります。 



VPN 肢定ウ打ード| VPN^ ス R 定| VPNJf ラメータ設定 | 



詳細設定メニュー画面 


7. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る。 

ルールの削除が Express5800/SG3 ◦〇に適用され、設定結果画面が表示されます。 

8. [詳細設定メニューに戻る]をクリックす ^ 

公0 ファオール 〉 詳細齡 > 設定結果 


詳細設定メニューに戻る 



新しし、ルールを適用しました。 

詳細設定メニューに戻る I 
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サーバ 公開 ルールの 更新 

一度設定したサーバ公開ルールの内容を変更することができます。 


1 . Management Console トップ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」がら[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 


3. 詳細設定メニューの r ルール設定」から 
[サーバ公開ルール]をクリックする。 

サーバ公開ルールー覧画面が表示されま 
す。 




状態表示 I ログ•アラート表示 


ソフトウェアアップデート | バックアップ.リストア 


フアイ ノノ ウォールメニュー画面 


サーバ公問ルール 


フ 7 イアウオール〉詳細設定 


サイト共通ルール|タル'•プル'■ル|サーバ公聞 Jlj 

アドレスクル'-プ I サ'■ビス 


詳細設定 f / 

I / 

/ール丨サーバ I 流入量制限ルール」 


最終更新日:2004年09月16日17時34分56秒 

最終更新状撤こ戻す I I インボート/ェクスボ'•卜 I 


ユーザ設定 j IS 証設定□ックアウト験定グル'-ゴ設定 ] 


VPN 設定 Of ザイ I VPN バス設定」 VPNn ♦ラメー $設定 I 


ロチアラートファイル設定 J アラートアクション設定 


詳細設定メニュー画面 


4. 変更したいルールの「N0.」をクリックす 
る0 

ルール設定更新画面が表示されます。 


ルール設定(サーバ公開） 


ファイアウオール〉 


£>ルール設定(サーバ公開） 


かんたん設定(ネットワーク嫌成)の確認 
群田設定トッブ画面の「編集結果を適 


一覧の背景がピンク色の項目は、「かん 
たん設定ウィザード」を経由して設定さ 
れたルールであることを示しています。 
このルールについては、「記I录」の項目に 
ついてのみしか変更することができませ 
ん。その他の項目を更新する場合は、も 
う一度「かんたん設定ウィザード」に戻っ 
て設定をやり直してください。 


一覧末尾にルールを追加| 
選択したルールを 刖除 1 


Mr 全迸折/_ 

/I ummi 

X # 「ウェブサ- 

|_ I 



[T 1192.168 .30.1 

! Tcp /443 

_ [T 92.168 .30.1 

443 

|2 1192.168.30.2 

| tcp /80 

_ [T 92.168 .30.2 

80 

|3 1192.168 .30.3 

[ tcp /25 

~|T 92.168 .30.3 

25 

|4 | f 92.168 .30.5 

"| tcp /21 

_ [T 92.168 .30.5 

— I 21 

[5 1192.168 .30.6 

tcp /53 

_ |T 92.168 .30.6 

|5~3 

6 1192.168 .30.6 

ludp /53 

192.168 .30.6 

53 

192.168 .30.10 

[ tcp /10000 

_ [T 92.168 .30.10 

Toooo | 

8 1192.168 .30.20 

top / 20000 

_ [T 92.168 .30.20 

2000〇 

9 1192.168 .30.40 

tcp / 30000 

_ [T 92.168 .30.40 

30000 

r 1〇 [192.168.30.30 

全部 

_ [T 92.168 .30.30 

— 




サーバ公開ルールー覧画面 
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5. ルール設定更新画面に表示される各項目 

を入力する。 

• 外部公開 IP アドレス 

外部ネットワークへ公開する IP アド 
レスを入力します。 

春内部 IP アドレス 

サーバの実際の IP アドレスを指定し 
ます。「外部公開 IP アドレス」と異な 
る場合は、その IP アドレスを入力し 
ます。 

• ポー ト 

ポート番号の指定を行うかどうがを 
選択します。特定のポート番号につ 
いてのみ公開するか、ポート番号の 
変換を行ラ場合には、外部ネット 
ワークへ公開するポート番号と、対 
応する内部ネットワークのポート番 
号を入力します。 


ルール設定更新 


ファイアウォール > 詳細設定 > ルール設定(サーメ彳公開) > ルール設定更新 [ヘルブ] 



登錄 I 


ルール設定更新画面 


• 記録 

作成するルールに該当する通信バケツトを検出したとき、ログ情報としてのみファイルに出 
力するか、それともファイルにはいっさい記録しないがを設定します。 


6. [登録]をクリックする。 

ルール設定更新結果画面が表示されます。 


7. [ルール設定（サーバ公開）に戻る]をク 
リックする。 


ルール設定更新結果 


ファイアウォール > 詳細設定> ルール設定(サ—讼開）> ルール設定追加〉ルール設定追加結果 [ヘルブ] 


変更したルールが反映されたサーバ公開 
ルールー覧画面が表示されます。 


下記のとおり、ルール設定(サーメ、公開)更新■ました。 




ルール設定（サーバ公閉）に戻る 


ルール設定更新結果画面 




























8. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 


• 「ルール設定」の中で、下に「編集 
中」と表示されている項目は、各項 
目の設定内容が編集中であること 
を示します。手順6で[登録]をク 
リックしますが、この段階では新 
しい設定内容を登録しただけで、 
Express 5800 / SG 300には適 
用されていない状態であるため、 
詳細設定メニューには「編集中」と 
表示されます。作成した設定内容 
を適用するには[編集結果を適用] 
をクリックしてください。 

• [最終更新状態に戻す]をクリック 
すると、 Express 5800/ 
SG 300はルールの更新前の状態 
に戻ります。 



ロヴ•アラ-卜:77〆ル設定 


詳細設定メニュー画面 


9. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K ] をクリックす 
合 〇 

更新したルールが Express 5800 / SG 300に適用され、設定結果画面が表示されます。 


10. [詳細設定メニューに戻る]をクリックす 
"〇) 〇 


フ7イアウオール > 詳細設定 > 設定結果 


詳 SiH 設定メニ 


-に戻る 


新しいルールを適用しました. 
詳細設定メニューに戻る J 
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外部から内部への通信におけるウェブ専用フィルタの設定 

外部ネットワークから内部ネットワークへの HTTP 通信のフィルタリング設定を行ラことが 
できます。ここでは、アクセス制御する端末やネットワークを設定することで外部ネット 
ワークから内部ネットワークへの HTTP 通信を制限します。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォ _ ルメニュー画面が表示さ 
れます。 



2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



ファイアウォールメニュー画面 


3. 詳細設定メニューの「ルール設定」から 
[サーバ公開ルール]をクリツクする。 

サーバ公開ルールー覧画面が表示されま 
す。 


サーバ公閉ルール_ 



詳細設定メニュー画面 


4. 「オプション」の「ウェブ専用フィルタ設 
定」をクリックする。 


ルール設定(サーバ公開） 


ファイアウォール 〉 詳細設定 > ルール設定(サーメ讼開） 


[ヘルブ] 


ウエブ専用フイルタ設定(外—内)画面が 
表示されます。 


かんたん設定(ネットワータ構成)の確認 
k 合は、詳細設定トッブ画面の「編集結果を適 


—覧末尾にルールを ifi 加| 
選択 U： ルールを 則除| 



r 全逞折/解除 


W ウェブサーバをウェ ■ 


サーバ公開ルールー覧画面 




















































5. —時遮断機能の利用の有無を選択する。 
利用する場合は、単位時間、アクセス 
数、遮断時間を設定する。 




一時遮断機能によって、外部ネット 
ワークの特定の端末から内部ネット 
ワーク上の ウェ ブサーバに過剰アクセ 
スする攻撃 （DoS 攻撃）を回避します。 
指定する単位時間あたり、指定するア 
クセス数を越えて接続した場合、その 
送信元からのウヱブアクセスを指定し 
た遮断時間の間制限します。 

さらに、一時遮断機能を有効にしてい 
ると、外部ネットワークの過剰な数の 
端末から内部ネットワーク上のウェブ 
サーバにアクセスする攻撃 （DDoS 攻 
撃）についても回避します。この場合は 
指定する単位時間あたり、50を超える 
送信元からのウヱブアクセスを制限し 
ます。 


|_一時遮断機能 II 

する 


単位時間(秒） 

|120 

アクセス数(回） 

11000 

遮断時間(秒） 

13600 

しない 



V 1 ウIブ専用フィルタ設定(外—内） 

r 還 ;^^^ 

「「する 

単位時間(秒） |12〇-" 

ァヶ数(回） 11000 

遮断時間(秒） 13600 

ルない 


「ル設定(サーバ公開） > ウェブ専用フィルタ設定 


原則として P 許可する广脑する— 

例外アクセス元アドレス 

原則許可する場合、以下晚のは拒否 
原則拒否する場合、以下のものは許可 


毅定」 


ウェプ専用フイルタ設定(外—内)画面 


6. ウヱプアクセス拒否機能を設定する。 

• 原則として許可する 

ウェブサーバに対するアクセスを原 
則として許可する場合に選択しま 
す。例外として拒否するネットワー 
ク、端末がある場合は、下に表示さ 
れるテキストエリアに拒否対象とな 
るネットワークアドレスまたは IP ア 
ドレスを設定します。 

• 原則として拒否する 

ウェブサーバに対するアクセスを原 
則として拒否する場合に選択しま 
す。例外として許可するネットワー 
ク、端末がある場合は、下に表示さ 
れるテキストエリアに許可対象とな 
るネットワークアドレスまたは IP ア 
ドレスを設定します。 

7. [設定]をクリックする。 

ウェプ専用フィルタ設定(外—内)結果画 

面が表示されます。 


ウエブ専用フィルタ設定(外—内） 


ファ々ウオール > 詳細設定 > ルール設定(サーメ彳公開) > ウェブ専用フィル^!婉 


単位時間(秒） |120~ 

アクセ^数(回） |1〇〇〇~ 

遮断時間(秒） 13600 


原貝化して P 許可する r ■拒否する一 
I你讲アクセス元アドレス 

原則許可する場合、以下のものは拒否 
原則拒否する場合、以下のものは許可 



3:ブアクセス拒否機能 


原則として P 許可する r 拒否する 
アク元^ 7 ドレス 

原則許可する場合、以下のものは拒否 
原則拒否する場合、以下のものは許可 


192.168 .200. 200 


3 

d 


ウエブ専用フイルタ設定(外—内)画面 


ファイアゥォ—ル機能の設定方法 
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8. [ルール設定（サーバ公開）に戻る]をク 
リックする。 


ウエブ専用フィルタ設定(外4内）結果 


サーバ公開ルールー覧画面が表示されま 
す。 


設定しました。 

詳細設定画面の「編集結果を適^」ボタンで 
ルールが有効になります。 


ルール 設定（サーバ公 PffTH こ戻る 




ルール設定(サーバ公に戻る 


ウェプ専用フイルタ設定(外—内)結果画面 


9. 「ウェブサーバをウェブ専用フィルタ経由 
で公開する。」のチェックボックスに 
チェックし、[確定]をクリックする。 

設定更新結果画面が表示されるので、 
[ルール設定（サーバ公開）に戻る]をク 
リツクします。 


ルール設定(サーバ公開） 



サイトルールが登錄されてしゝません 

r 全逞折/解除 


r ウェブサーバをウェブ専用フィルタ経由で公開する。（ウェブ専用フィルタ設 



>•サーバをウェブ専用フィルタ経由で公開する。( ウェブ専用フィル總 
メールサ—泫メール専用フィルタ経由で公開する。 ール専用フイルタ^ 





サーバ公開ルールー覧画面 


確定をクリックしないと、ウェブ専用フィルタ設定をしてもフィルタリング機能は有効になり 
ません。逆にウェブ専用フィルタ設定をしないでフィルタリング機能を有効にしても効果はあ 
りません。 


10. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 

p-oara 

• 「ルール設定」の中で、下に「編集 
中」と表示されている項目は、各項 
目の設定内容が編集中であること 
を示します。手順9で[確定]をク 
リックしますが、この段階では新 
しい設定内容を登録しただけで、 
Express 5800 / SG 300には適 
用されていない状態であるため、 
詳細設定メニューには「編集中」と 
表示されます。作成した設定内容 
を適用するには[編集結果を適用] 
をクリックしてください。 

• [最終更新状態に戻す]をクリック 
すると、 Express 5800/ 
SG 300はフィルタリング機能の 
設定前の状態に戻ります。 



詳細設定メニュー画面 


11 . 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る。 


フィルタリング設定が Express 5800 /SG 300に適用され、設定結果画面が表示されます。 

12. [詳細設定メニューに戻る]をクリックす ^ 


詳細設定メニューに戻る 



新 U 、ルールを適用しました。 

詳細設定メニューに戻る I 































































外部から内部への通信におけるメール専用フィルタの設定 


Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 





2. ファイアウォールメニューの「ルール設 
定」がら[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



状態表示 J ログ•アラート表示 



ソフトウエノ 7 尸ッブ丁' 


フアイ ノノ ウォールメニュー画面 


3. 詳細設定メニューの r ルール設定」がら 
[サーバ公開ルール]をクリックする。 

サーバ公開ルールー覧画面が表示されま 
す。 



—認証設定I ロッグ T ウト肢定」プループ肢定I 


F ラートファイル設定 


詳細設定メニュー画面 


4. 「オプション」の[メール専用フィルタ設 
定]をクリックする。 

メール専用フィルタ設定(外—内）画面が 
表示されます。 


ルール設定(サーバ公開） 


フ7イアウオール > 詳細設定 > ルール設定(サ—く公開） 


かんたん設定(ネットワーク構成)の確認 


■ッブ画面の「編集結果を適 


一覧末尾にルールを追加| 
選択したルールを wm ] 





192.168 .30.1 tcp/443 

1192.168 .30.1 |443 | 


192.168 .30.2 tcp/80 

[T 92.168 .30.2 |80 


3 192.168.303 tcp/25 

192.168 .30.3 |25 


4 [192.168.30.5 ftcp/21 

『 92.168.30.5 |21 


5 192.168 .30.6 tcp/53 

192.16 8.30.6 |53 


6 192.168 .30.6 udp/53 

192.168 .30.6 |53 


7 192.168 .30.10 [tcp/10000 

8 [192.168.30.20 ftcp/ 20000 - 

f 92.168 .30.10 110000 " 


^92.168.30.20 [20000 


9 1192.168 .30.40 [tap/ 30000 

^92.168.30.40 [30000 


r 10 192.168 .30.30 全部 

^92.168.20.20 | 全部 

sz 


r メールサーノ法メール専用フイルタ経由で公開する。（メール専用フイルタ設定） 




I EhigVI 

「 r ウェブサ' 
_ メールサ， 


f サーバをウヱブ専用フィルタ経由で公開する。( ウェブ専用フィルタ設定) 
泫メール専用フイルタ経由で公開する。（メール専用フィルタ設定） 

確定| 


サーバ 公開 ルールー覧 画面 
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5. —時遮断機能の利用の有無を選択する。 
利用する場合は、単位時間、アクセス 
数、遮断時間を設定する。 

•:一[120 

一時遮断機能によって、外部ネット 
ワークの特定の端末から内部ネット 
ワーク上のメールサーバに過剰アクセ 
スする攻撃 （ DoS 攻撃）を回避します。 
指定する単位時間あたり、指定するア 
クセス数を越えて接続した場合、その 
送信元からのメ ールアクセスを指定し 
た遮断時間の間制限します。 

さらに、一時遮断機能を有効にしてい 
ると、外部ネットワークの過剰な数の 
端末から内部ネットワーク上のメール 
サーバにアクセスする攻撃 （DDoS 攻 
撃）についても回避します。この場合は 
指定する単位時間あたり、50を超える 
送信元からのメ ールアクセスを制限し 
ます。 



|原則としてび許可する rf 昭する一 
|仿帆送信元メールア 

原則許可する場合、以下桃のは輕 
原則拒否する場合、以下のものは許可 


例外送信元アドI 


設定丨 


メール専用フイルタ設定(外—内)画面 


6. メール受信許可制限機能を設定する。 


メール専用フイルタ設定(外—内） 


• 原則として許可する 

メールサーバに 対するアクセスを原 
則として許可する場合 に 選択しま 
す。 

例外として拒否するメールアドレス 
がある場合には、例外送信元メール 
アドレスのテキストエリアに拒否対 
象となるメールアドレスを指定しま 
す。例外として拒否するネットワー 
ク、端末がある場合には、例外送信 
元アドレスのテキストエリアに、拒 
否対象となるネットワークアドレス 
または IP アドレスを設定します。 

• 原則として拒否する 

メールサーバに 対するアクセスを原 
則として拒否する場合 に 選択しま 
す。 

例外として許可するメールアドレ 
ス、ネットワーク、端末がある場合 
には、例外送信元メールアドレスと 
例外送信元アドレスの両方を設定し 
ます。例外送信元メールアドレスの 
テキストエリアに、許可対象となる 
メールアドレスを設定します。例外 
送信元アドレスのテキストエリア 
に、許可対象となるネットワークア 
ドレスまたは IP アドレスを設定しま 
す。 


ファイアウオール 〉 詳細設定 〉 ルール設定(サ ーノ讼開） 〉メール専用フィルタ設定 


[ヘルブ] 


汉する 

単位時間(秒） |12〇~ 

ァクセス数(回） 11000 

遮断時間(秒） |3600~ 

| 广 USI 、 

I i| i| 1 | 

_則として p 許可する广拒否する 
例外送信元メールアドレス 

原則許可する場合、以下のものは拒否 
原則拒否する場合、以下のものは許可 

1行 I こつ？1つのメ'■ルアドレスを記述してください。 
r ** をワイルドカードとして使用することも可能です〉 


4 



メール専用フイルタ設定(外—内)画面 


なお、メールアドレス部分には、必ず有効なメールアドレスを指定してください。メールの 
送信時にはアドレスのチェックは行わないため、不正なアドレスが指定された場合、メール 
はそのまま送信され、エラーになる場合があります。 
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也 _ 

「原則として拒否する」を選択した場合、例外送信元メールアドレスと例外送信元アドレスの両 
方の条件に合うメールだけ許可します。したがって、両方の欄に値を指定してください。もし、 
送信元メールアドレスだけで許可を決定したい場合、例外送信元アドレスの方には、0.0.0.0/0 
のようにネットマスク部分を0 (= 全ネットワーク）と指定します。 


7. [設定]をクリックする。 

メール専用フイルタ設定(外—内)結果画 
面が表示されます。 

8. [ルール設定（サーバ公開）に戻る]をク 
リックする。 

サーバ公開ルールー覧画面が表示されま 
す。 


メール専用フィルタ設定(外—内)結果 


ファイアウオール 〉 詳細設定 〉ル 


> メール専用フイルタ設定 〉設定結果 [ヘルブ] 


ル， 


設定しました。 

獅設定画面の「編集結果を適用」ボダノ1 
，ールが有効になります。 

ルール設定(サーバ公閜)に戻る 」 


A 


ルール設定(サーパ公閉)に戻る 


メール専用フイルタ設定(外—内)結果画面 


9. 「メールサーバをメール専用フィルタ経 
由で公開する。」のチェックボックスに 
チェックし、[確定]をクリックする。 

設定更新結果画面が表示されるので、 
[ルール設定（サーバ公開）に戻る]をク 
リックします。 


確定をクリックしないと、メール専用 
フィルタ設定をしてもフィルタリング 
機能は有効になりません。逆にメール 
専用フィルタ設定をしないでフィルタ 
U ング機能を有効にしても効果はあり 
ません。 


ルール設定(サーバ公開） 


ファイアウォール > 詳細設定 > ルール設定(サーメ彳公開） 


ルールの追加•削除•更新奸 
用」ポタンをクリックぐごさい。 

一覧末尾にルールを进加 j 
選択したルールを 則除1 


かんたん設定(ネットワーク後^の確認 
ブ画面の「編集結果を適 


卜 


192 


168.30 .2 

168.30 .3 

168.30 .5 

168.30 .6 


[9 1192.168 .30.40 

\r 10 1192.168 .30.30* 

r 全逛折/解除 

「r ウェブサ - 
|7 メールサ- 


Jtcp/443 
|tcp/80 
|tcp/25 
|tcp/21 
|tcp/^3 
[udp/53 
|tcp/10000 
_ [tcp/ 20000 
—[W 30000 
—| 全部 


1192.168 .30.1 — 
[192.168.30.2 
]i 92.168 .30.3 
192.168 .30.5 
]i 92.168 .30.6 
92.168 .30.6 
[192.1 68.30.10 

巨 92.168 .30.20 
]T 92.168 .30.40 
"R 92.168 .20.20 




443 


80 


25 


21 


53 


53 


[Toooo 


20000 


130000 "| 



\m~j 


卩ウェブサーバをウェブ専用フィルタ経由で公開する。（ウェブ専用フィルタ設. 




ーバをウIブ専用フィルタ経由で公開する。( ウェブ専用フィルタ設定) 

人‘をメール専用フィルタ経由で公開する。( メール専用フイルタ設定) 

也 


サーバ公開ルールー覧画面 
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10. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 

p-oara 

• 「ルール設定」の中で、下に「編集 
中」と表示されている項目は、各項 
目の設定内容が編集中であること 
を示します。手順9で[確定]をク 
リックしますが、この段階では新 
しい設定内容を登録しただけで、 
Express 5800 / SG 300には適 
用されていない状態であるため、 
詳細設定メニューには「編集中」と 
表示されます。作成した設定内容 
を適用するには[編集結果を適用] 
をクリックしてください。 

• [最終更新状態に戻す]をクリック 
すると、 Express 5800/ 
SG 300はフィルタリング機能の 
設定前の状態に戻ります。 



ロヴ■アラ-トフ7イル»定 I アラートアクシゴノ »定 | 


詳細設定メニュー画面 


11. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る。 


フィルタリング設定が Express5800/SG3 ◦◦に適用され、設定結果画面が表示されます。 

12. [詳細設定メニューに戻る]をクリックす ^ 

も 0 フ 7*0^ 才-ル〉細 f 蹄〉鮮结果 


詳細設定メニューに戻る 


新 U 、ルールを適用しました。 






































流入量制限ル—ル 


流入量制限ルールとは、各インタフェースを介して内部方向に流入するバケットを監視し、 
流入量が設定した値を超えた場合は、 Express 5800 /SG300 を越えての新規の接続要求を拒 
否する機能のことです。 

パケット量は、宛先や送信元、ポートによらず、指定したインタフェースに流れる全バケッ 
卜の総量を測ります。 

なお、流入量制限は通信の片方向だけに掛かります。外部ネットワークから Exp「ess5800/ 
SG 300へ流入する方向と、 Express 5800 /SG30 〇を経て内部ネットワーク/ DMZ へ流入す 
る方向に制限をかける場合でも、内部ネットワーク/ DMZ から外部ネットワークへの通信は 
影響を受けません。 

これにより、 DoS 攻撃などの過負荷となる通信から内部サーバを保護することができます。 



DMZ 


[| 制限の: 
制限の: 


制限のかかるバケツトの流れ 

|かからないバケツトの流れ 


流入量ルール制限 


流入量制限ルールでは以下の項目を設定します C 
• 流入量制限ルールの設定内容の碓認 
• 流入量制限ルールの追カロ 
• 流入量制限ルールの削除 
• 流入量制限ルールの更新 


ファイアゥォ—ル機能の設定方法 
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流入量制限ルールの設定内容の確認 


Express 5800 /SG 300は設定されたインタフェースの流入量を監視し、流入量の上限を超え 
ると、ファイアウォールを越えての新規の接続要求を拒絶するよラになります。 

■I； かんたん設定で不正アクセス対策レベルを「アドバンス」に設定した場合、外部からファイ 

|ヒン アウォールへのパケット流入量を 70Mbps に制限します。 

流入方向や制限値は、流入量制限ルールで変更することができます。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



ファイアウォールメニュー画面 


3. 詳細設定メニューの「ルール設定」から[流 
入量制限ルール]をクリックする。 




ユーザ殷定| 15証設定| ロックアウト設定|グループ肢定| 




VPN 設定ウ W — ド| VPW ス設定| VPN パラメー;5設定 | 



ロタ•アラ-トファイル殺定 I アラートアクシ S ン肢定 | 


詳細設定メニュー画面 


流入量制限ルールー覧画面が表示されます。表示される内容は以下の通りです。 


項目 

説明 

No. 

ルールの 番号です。 

流入方向 

制限を掛ける流入方向を表示します。 

制限値 

指定する方向に流入するバケツト量の上限値です。 











































ルール設定(流入量制限) 


かんたん設定(ネットワーク構成)の確認 

ルールの追加•削除■更新を行なった場合は、詳細設定トツブ画面の「編集結果を適 
用」ポタンをクリックさい。 


一覧 末尾に ルールを追加| 
選択した ルールを 則 除] 


| No . I 

流入方向 

I 制限値| 


ファイアウオール— DMZ (172.16.16.0/25) 

10 Mbps 


外部—ファィァゥ ォール 

10 Mbps 


r 全逞折/解除 


流入量制限ルールー覧画面 


■: 画面右上の「かんたん設定（ネットワーク構成）の確認」をクリックすると、かんたん設定で 

IJv^l 設定した内容が別ウィンドウで表示されます。 


具体的な流入量制限ルールー覧の事例を示します。 


流入量制限ルールー覧画面 

ルールの1行目：ファイアウォールから DMZ へ流れるバケツトの総流入量を 10Mbps に制限 
することを表します。 

ルールの2行目：外部ネツトワークからファイアウォールへ流れるバケツトの総流入量を 
1〇 Mbps に制限することを表します。 



フフイアウ オール > 詳細設定 > ルール 設定(流入量制限） 


[ヘルブ] 
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流入量制限ルールの追加 

必要に応じて流入量制限ルールを追加することができます。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



状態表示| ログ•アラート表示 I 



ファイアウォールメニュー画面 


3. 詳細設定メニューの r ルール設定」から 
[流入量制限ルール]をクリックする。 

流入量制限ルールー覧画面が表示されま 
す。 





アラートアクシ g ン较定 


詳細設定メニュー画面 


4. 「一覧末尾にルールを『追加』」をクリック 
する。 

ルール設定追加画面が表示されます。 


ルール設定(流入量制限） 


フ ァ イアウ オー j し 〉 m 


E > ルール設定(流入量制限） 


かんたん設定(ネットワーク構成)の確認 


ルールの追加•肖|餘•更新を行なった場含は、詳細設定トッブ画面の「編集結果を適 
用」ボダンをクリックくだ汍、。 


一覧末尾にルールを追加 


>一覧末！! 


ルを追加 I 
を 刖除 I 


p アイアウオール— DMZ (1 72.1 6.16.0/25) 

&部—フ7イアウオール 


|10 Mbps 
|To Mbps 


流入量制限ルールー覧画面 

















































5. ルール設定追加画面に表示される各項目 
を設定する。 

• 流入方向 

流入方向をラジオボタンで選択しま 
す。 

• 制限 

指定した方向に流入するパケット量 
の上限値を設定します。 Mbps 単位に 
よる指定ができます。入力できる範 
囲は1から1000までです。 

6. [登録]をクリックする。 

追加結果画面が表示されます。 


フアイアウオール > 詳細酿 > ルール設定⑸£入量制限) > ルール設定追加 


ウオール—1^1部 (192.168.9.0/24) 
ウオール^！部 (1 92.168 .20.0/24) 


ルール設定追加画面 


I チェック I 

登録に失敗した場合には、エラー内容を示す画面を表示します。 

[ルール設定（流入量制限）に戻る]をク 
リツクする。 


追加したルールが反映された流入量制限 
ルール画面が表示されます。 


ル設定頌入暈制限！〉ルール追加〉追加結果 


ルール設定追加に成功しました。 


ウオール—内部 (1 92.168 .9.0/24) 


A 


設定(流...登制限)に戻る 


レール設定（流入量制限)に戻る 


追加結果画面 


8. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 


• 「ルール設定」の中で、下に「編集 
中」と表示されている項目は、各項 
目の設定内容が編集中であること 
を示します。手順6で[登録]をク 
リックしますが、この段階では新 
しい設定内容を登録しただけで、 
Express 5800 /SG 300 には適 
用されていない状態であるため、 
詳細設定メニューには「編集中」と 
表示されます。作成した設定内容 
を適用するには[編集結果を適用] 
をクリックしてください。 

• [最終更新状態に戻す]をクリック 
すると、 Express 5800/ 
SG 300 はルールの追加前の状態 
に戻ります。 



詳細設定メニュー画面 


9. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、 [ OK ] をクリックす 

它) 〇 


新しく追加したルールが Express5800/SG3 ◦◦に適用され、設定結果画面が表示されます。 
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10. [詳細設定メニューに戻る]をクリックす 
る 0 


詳細設定 


フ7イアウオール > 詳細設定 > 設定結果 


詳細設定メニューに戻る 



新しいルールを翩しました。 
詳細設定メニューに戻る J 


流入量制限ルールの削除 

不要になった流入量制限ルールを削除することができます。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



状態表示| □ヴ 7ラート表示 I 



ソフトウェアアップデート I パックアップ•リストア | 


ファイアウォールメニュー画面 


3. 詳細設定メニューの「ルール設定」から[流 
入量制限ルール]をクリックする。 

流入量制限ルールー覧画面が表示されま 
す。 



詳細設定メニュー画面 
















































4. 削除したいルールの「N0」の横に表示され 
るチェックボックスをチェックし、「選択 
したルールを『削除』」をクリックする。 


ルール設定(流入量制限） 


ファイ70オール 〉 詳細設定 > ルール設定傭入量制限） 


かんたん設定(ネットワーク構成)の確認 
トッブ砸の「編集結果を適 


「全選択/解除」のチヱックボックスを 
チェックすると、削除可能なルールの 
すべてを一度に選択できます。逆に、 

「全選択/解除」のチヱックボックスの 
チェックを外すと、いったんチェック 
ボックスにチェックをつけたすベての 
ルールを削除対象から外すこともでき 
ます。 


一覧末尾にルールを追加 I 
適択したルールを 則除 | 

I r 1 1^77イアウオール- > DMZ (172.16.16.0/25) 

|r 2 キ部ーフ丁ィァゥォール 

[b ァイアウオールー部 (1 92.168 .9.0/24) 


ZA 


選択したルールを 則除 I 

フ7イアウオール— DMZ (1 72.1616 .0/25) 
外部—フアイアウオール 

17 3 |フ7イアウオール—内部 (1 92.168 .9.0/24) 




流入量制限ルールー覧画面 

5. 別ウィンドウで削除確認のダイアログメッセージが表示されるので[〇 K] をクリックする。 

I 圆 

| [キャンセル]をクリックすると、削除されずに流入量制限ルールー覧画面に戻ります。 
流入量制限ルールが削除され、削除を反映した流入量制限ルールー覧画面が表示されます。 


6. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 


• 「ルール設定」の中で、下に「編集 
中」と表示されている項目は、各項 
目の設定内容が編集中であること 
を示します。手順5で [ OK ] をク 
リックしますが、この段階では 
J レー J レの肖!!除は Express 5800/ 
SG 300には適用されていない状 
態であるため、詳細設定メニュー 
には「編集中」と表示されます。作 
成した設定内容を適用するには[編 
集結果を適用]をクリックしてくだ 
さい0 

• [最終更新状態に戻す]をクリック 
すると、 Express 5800/ 
SG 300はルールの削除前の状態 
に戻ります。 



VPNM ラメー$設定 


詳細設定メニュー画面 


別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る0 

ルールの削除が Express 5800 /SG300 に適用され、設定結果画面が表示されます。 


8. [詳細設定メニューに戻る]をクリックす 

它 ) 〇 


フアイアウオール 〉 詳細鮮 〉縮吉果 


詳細設定メニューに戻る 


新しいルールを適用しました。 

詳細設定メニュ H 
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流入量制限ルールの更新 

一度設定した流入量制限ルールの制限値を変更することができます。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



3. 詳細設定メニューの「ルール設定」から[流 
入量制限ルール]をクリックする。 

流入量制限ルールー覧画面が表示されま 
す。 



詳細設定メニュー画面 


4. 変更したいルールの「 N 0.」をクリックす 
る。 

ルール設定更新画面が表示されます。 


ルール設定(流入量制限） 


ファイアウォール 〉 詳細設定 〉ルール設定(流入量制限） 


[ヘルブ I 

かんたん設定(ネットワーク構成)の確認 




、_酿トッブ画面の「編集結果を送 


一覧末尾にルールを追加」 
選択 U こルールを 則除1 



r 1 かル ^®？ r ■ 5.10.0/2^' 


fio Mbps 

10 Mbps 


流入量制限ルールー覧画面 


5. ルール設定更新画面からパケット流入量 ル-ル設定更新 

の制限値左 言 受定才 る。 フ7イア^ォール > 詳細設定 > ルール設定(流入量制限） 〉ルール設定更新 



金錄 I 
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ルール設定更新画面 






















































6. [登録]をクリックする。 


更新結果画面が表示されます。 

登録に失敗した場合には、エラー内容を示す画面を表示します。 


7. [ルール設定（流入量制限）に戻る]をク 
リックする。 


ファイアウォール 〉 詳細設定 〉 ルール設定(流入量制限）〉ルール設定追加〉更新結果 


更新したルールが反映された流入量制限 
ルールー覧画面が表示されます。 


rKfgETa 

| フ7イアウ: 


オール-^ DMZ(1 72.1 6.16.0/25) 



8. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 


• 「ルール設定」の中で、下に「編集 
中」と表示されている項目は、各項 
目の設定内容が編集中であること 
を示します。手順6で[登録]をク 
リックしますが、この段階では新 
しい設定内容を登録しただけで、 
Express 5800 /SG 300 には適 
用されていない状態であるため、 
詳細設定メニューには「編集中」と 
表示されます。作成した設定内容 
を適用するには[編集結果を適用] 
をクリックしてください。 

• [最終更新状態に戻す]をクリック 
すると、 Express 5800/ 
SG 300 はルールの更新前の状態 
に戻ります。 



PN バス設定」 VPNJf ラメータ設定 


アラ-トアクシ3ン肢定 


詳細設定メニュー画面 


9. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る0 

更新したルールが Express 5800 /SG30 ◦に適用され、設定結果画面が表示されます。 


10. [詳細設定メニューに戻る]をクリックす 
"〇) 〇 


新しいルールを獅しました。 
詳細設定メニューに戻る J 


詳細設定メニューに戻る 
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アドレスグループ 


アドレスグループとは、1つ以上のホストアドレスまたはネットワークアドレスをグループ 
化したもので、ユーザが自由に設定することができます。設定したアドレスグループはサイ 
卜共通ルール、グループルールのルール設定の際に送信元、宛先として指定することができ 
ます。これにより、簡単に環境に合わせたフィルタリング設定ができます。 

アドレスグループは、ホスト、ネットワーク、ホストおよびネットワークを複数含むグルー 
プの3つに分けて考えることができます。 

アドレスグループでは、以下のよラな設定 • 管理を行ラことができます。 

• アドレスグループの確認 
• アドレスグループの追カロ 
• アドレスグループの削除 
• アドレスグループの更新 


アドレスグループの確認 

すでに設定したアドレスグループはアドレスグループー覧画面から確認することができま 
す0 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリツクする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



状態表示| ログ•アラート表示 I 



ファイアウオールメニュー画面 
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3. 詳細設定メニューの「ルール設定」から[ア 
ドレスグループ]をクリックする。 


アドレスヴルーゴ I 

/ / 詳細設定 

フ7ィァウォー.Iし 〉詳細設定 | # 

サイト共通ルー y I ヴループルール|サーパ公蘭ル- 


流入量制限ル'-ル 


12義正設定| ロックアウト段定」ク"ループ肢定」 


VPN 設定ウイザード」 VPN；< ス設定」^ VPN パラメータ設定 


ロヴ•アラートファイル毅定 | アラートアクシ g ン設定 


詳細設定メニュー画面 


アドレスグループー覧画面が表示されます。表示される内容は以下の通りです。 


項目 

説明 

名前 

アドレスグループの種別を示すアイコンとアドレスグループの名称です。 


0 

(ホスト） 

単一のホストアドレスを登録したときにこのアイコンを設定します。 


S 

(ネットワーク） 

ネットワークアドレスを登録したときにこのアイコンを設定します。 



(グループ） 

ホストアドレス、ネットワークアドレスを複数登録したときにこのア 
イコンを設定します。 

メンパ 

設定したアドレスグループに所属するホストアドレス、ネットワークアドレスを 
表 7J\ します0 


ルール設定(アドレスグルーブ） 


ファイアウ オール > 詳細設定 > ルール 設定(アドレスグルーブ） 


[ヘルブ] 


アドレスグルーブを 追加| 

選択したアドレスグルーブを則除 I 



r g 部門ネット1 

192.168 .20.0/24 

r S 部門ネット 2 

192.168 .30.0/24 

r f|l ウェブサーバ 

1192.168.10.101 

r f=l メールサーバ 

1192.168.10 .102 

「箱公関サーバ 

1192.168.10.101,192.168.10 .102 

厂說東京営業所 

192.168 .128.0/1 7,192.168 .100.0/24 

「「171 DB サーバ 

1192.16 8.20.1 05 


厂全選択/解除 


アドレスグループー覧画面 

具体的なアドレスグループー覧の事例を示します。 

• 上記画面の部門ネット1 

ネットワークアドレス192.168 .20.0/24 のネットワークが登録されたアドレスグループ 
です。 

• 上記画面のウェブサーバ 

IP アドレス192.168 .10.101 のホストが登録されたアドレスグループです。 

• 上記画面の東京営業所 


ファイアゥォ—ル機能の設定方法 


ネットワークアドレス192.168 .128. 0/17、192.168.100 .0/24 が登録されたアドレス 
グループです。 
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アドレスグループの追加 

必要に応じてアドレスグループを追加することができます。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



ファイアウォールメニュー画面 


3. 詳細設定メニューの「ルール設定」か[ア 
ドレスク'ループ]をクリックする。 

アドレスグループー覧画面が表示されま 
す。 



詳細設定メニュー画面 


4. 「アドレスグループを『追加』」をクリック 
する。 

アドレスグループ追加画面が表示されま 
す。 



アドレスグルーブを a 加| 

選択 U こアドレスグルーブを 削除| 



「錄択/解除 


アドレスグループー覧画面 






























































5 .アドレスグループ追加画面に表示される ァドレスグル-ブ追加 

各ェハー 1 を 0 又刀一/句〇 ファイアウォール 〉 詳細設定 〉 ルール設定(アドしスグルーブ） 〉アドレスグルーブ追加 [ヘルブ] 



S»J 

アドレスグループ追加画面 


項目 

説明 

名前 

アドレスグループの名称です。 

最大で32バイトまでの英数文字列、ハイフン(-)、アンダースコア （） が使用でき 
ます。全角文字（日本語）も使用できます。既存のアドレスグループと重複する 
名前は付けられません。 

メンバ 

設定するアドレスグループに所属するホストアドレス、ネットワークアドレスを 
登録します。 

1行に1アドレスを入力します。 

右側に既存のアドレスグループが表示されますので、アドレスグループを選択 
し、 [—] をクリックすることでそのメンバを取り込むこともできます。 

アイコン 

0 

(ホスト） 

単一のホストアドレスを登録したときにこのアイコンを設定します。 


(ネットワーク） 

ネットワークアドレスを登録したときにこのアイコンを設定します。 


(グループ） 

ホストアドレス、ネットワークアドレスを複数登録したときにこのア 
イコンを設定します。 


■し IS] 

• 同じアドレスを複数登録した場合は、2つ目以降が自動的に削除されて登録されます。 
• アドレスグループが含むことのできるメンバの数は、最大50個までです。 


6. [登録]をクリックする。 

アドレスグループ登録結果画面が表示されます。 

登録に失敗した場合には、エラー内容を示す画面を表示します。 
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7. [ルール設定（アドレスグループ）に戻る] 
をクリックする。 

追加したアドレスグループが反映された 
アドレスグループー覧画面が表示されま 
す。 


アドレスグルーブ追加結果 


フ7イアウォール > 詳細設定 > ルール設定(アドしスヴルーブ) > アドレスグルーブ追加結果「ヘルプ! 


下記のとおり、アドレスグルーブを追加しました。 


^039 

名前 


東京営業所 

k ノバ 

192.168 .128.0/1 7 
192.168 .100.0/24 

[>ィコン 

5 



アドレスグループ登録結果画面 


8. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 

P-OBM 

• 「ルール設定」の中で、下に「編集 
中」と表示されている項目は、各項 
目の設定内容が編集中であること 
を示します。手順6で[登録]をク 
リックしますが、この段階では新 
しい設定内容を登録しただけで、 
Express 5800 / SG 300には適 
用されていない状態であるため、 
詳細設定メニューには「編集中」と 
表示されます。作成した設定内容 
を適用するには[編集結果を適用] 
をクリックしてください。 

• [最終更新状態に戻す]をクリック 
すると、 Express 5800/ 
SG 300はアドレス グループの 追 
加前の状態に戻ります。 



詳細設定メニュー画面 


9. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る。 


新しく追加したアドレスグループが Express5800/SG3 ◦◦に適用され、設定結果画面が表示され 
ます。 


10. [詳細設定メニューに戻る]をクリックす 
る。 


詳細設定 


ファイアウォール > 詳細設定 > 


詳細設定メニューに戻る 



新しいルールを適用しました。 

詳細設定メニューに戻る | 




















































アドレスグループの削除 

不要になったアドレスグループを削除することができます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 




1 ■圈浪电 J 


状態表示 ログ•アラート表示 



ソフトウエノ 7 尸ッブ丁' 


3. 詳細設定メニューの r ルール設定」がら[ア 
ドレスグループ]をクリックする。 

アドレスク'ループー覧画面が表示されま 
す。 


フアイ ノノ ウォールメニュー画面 


アドレスヴ ループ I 

,/ 詳細設定 

ファイァウォール > 詳細酿 f I 

サ -i 卜共通ルール f ヴループルール 1 サーバ公閉ルール 
アドしスづ•ルーゴI サービス I 


a : 2004年09月” 

| 纏集結果を迪月 


1ーザ肢定丨 EHK 定I ロックアウト K 定| グループ段定 1 


VPN 設定ウイザード 


VPN；、 •ラメータ設定 


詳細設定メニュー画面 
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4. 削除したいアドレスグループの「名前」の 
横に表示されるチェックボックスを 
チェックし、「選択したアドレスグループ 
を『削除』」をクリックする。 

響〜 

「全選択/解除」のチヱックボックスを 
チェックすると、削除可能なアドレス 
グループのすべてを一度に選択できま 
す。逆に、「全選択/解除」のチヱック 
ボックスのチェックを外すと、いった 
んチェックボックスにチェックをつけ 
たすベてのアドレスグループを削除対 
象から外すこともできます。 

5. 別ウィンドウで削除確認のダイアログ 
メッセージが表示されるので[〇 K] をク 
リツクする。 


[キャンセル]をクリックすると、削除さ 
れずにアドレスグループー覧画面に戻 
ります。 


選択した アドレスグルーブを 肖 lj 除 I 



ルール設定(アドしスグルーブ） 


ルール設定(アドレスグルーブ） 


[ヘルブ] 


アドレス:^ーブを 追加丨 

選択した-ドレスグルーブを wmj 

! 巧門 ~ V 、、, 卜1 

17 g 部門ネット2 (?) 



アドレスグループー覧画面 


アドレスグループが削除され、削除を反 
映したアドレスグループー覧画面が表示 
されます。 


選択したアドレスグループが、サイト 
共通ルールまたはグループルールで指 
定されている場合、削除することがで 
きません。その場合、エラー内容を示 
す画面が表示されます。 


サイト共11ルー jL T. «ddrr.rp2 t ア P レスグループその3とア F ■レスグループその4 T/ 使用3れています, 
ラ,.ープルーIが ルづ IP： 001 n； •wMiurp? とレスザループその3とア f レスザループその6と〆I 
f の b ， 《hlr«r P 1 とア P レスラルーづ f の4び續用？れてい茨 T. 

ラル-ゴルー J レ げルーゴ ID 〇0?>で、 Addrcrpl が使用されています* 

先 J :ルールかろ刖队てください ♦ 

勤」 


エラーの説明文中に表示される、サイ エラー 内容を示す画面 

卜共通ルール、グループルールのリン 
クをクリックすると、それぞれサイト 
共通ルールー覧画面、グループルール 
一覧画面が表示されます。先にルール 
からアドレスグループを削除し、再度 
アドレスグループの削除を行ってくだ 
さい。 



















































6 . 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 


• 「ルール設定」の中で、下に「編集 
中」と表示されている項目は、各項 
目の設定内容が編集中であること 
を示します。手順5で [0 K ] をク 
リックしますが、この段階ではア 
ドレスグループの削除は 
Express 5800 / SG 300には適 
用されていない状態であるため、 
詳細設定メニューには「編集中」と 
表示されます。作成した設定内容 
を適用するには[編集結果を適用] 
をクリックしてください。 

• [最終更新状態に戻す]をクリック 
すると、 Express 5800/ 
SG 300はアドレス グループの 削 
除前の状態に戻ります。 



VPN 設定ウイザード 


VPN；、 •ラメータ設定 


詳細設定メニュー画面 


7. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K ] をクリックす 

它 ) 〇 

アドレスグループの削除が Express 5800 / SG 300に適用され、設定結果画面が表示されます。 


8 . [詳細設定メニューに戻る]をクリックす 
"〇) 〇 


詳 設定メニューに戻る 


新しいルールを適用しました。 

詳細設定メニュ H こ戻る| 
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アドレスグループの更新 

一度設定したアドレスグループの内容を変更することができます。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



状態表示| ログ•アラート表示 I 



ファイアウォールメニュー画面 


3. 詳細設定メニューの「ルール設定」か[ア 
ドレスグループ]をクリックする。 

アドレスグループー覧画面が表示されま 
す。 



詳細設定メニュー画面 







































4. 変更したいアドレスグループの「名前」を 
クリックする。 

アドレスグループ更新画面が表示されま 


ルール設定(アドレスグルーブ） 


フ7イアウォール > 詳細設定 > ルール設定(アドレスグルーブ） 


[ヘルブ] 


追加丨 


6 . 


す0 


選択したアドレスクルー 


V削除 




r g 部門ネット 1 

1192.168 .20.0/24 

「「奪部門ネット 2 

192.168 .30.0/24 

「「 @ウェブサーバ 

192.168 .10.101 

r fz \ メールサーバ 

192.168 .10.1 02 

r ® 公開サーバ 

192.168 .10.1 01,192.168 .10.1 02 

r 扣東 雜業所 

192.168 .128.0/1 7,192.168 .100.0/24 

r © db サーバ 

192.168 .20. 105 V . 


アドレスグループー覧画面 


アドレスク'ループ更新画面に表示される 
各項目を設定する。 


アドレスグルーブ更新 


■ nyf\ 

同じアドレスを複数登録した場合 
は、2つ目以降が自動的に削除され 
て登録されます。 

アドレスグループが含むことので 
きるメンバの数は、最大50個まで 

です。 


フ7ィァウォール > 詳細設定 > ルール設定(アドレスグルーブ) > アドレスグルーブ更新 [^)1 



部門ネット1 

部門ネット2 
ウェプサーバ 
メールサーバ 
公聞サーバ 
東京宮案所 


登錄 I 

アドレスグループ更新画面 


[登録]をクリックする。 

アドレスグループ更新結果画面が表示されます。 


[r 5) 東京営業所 192.168 .128.0/1 7,192.168 .100.0/24 


項目 

説明 

名前 

アドレスグループの名称です。 

最大で32バイトまでの英数文字列、ハイフン㈠、アンダースコア （） が使用でき 
ます。全角文字（日本語）も使用できます。既存のアドレスグループと重複する 
名前は付けられません。 

メンバ 

設定するアドレスグループに所属するホストアドレス、ネットワークアドレスを 
登録します。 

1行に1アドレスを入力します。 

右側に既存のアドレスグループが表示されますので、アドレスグループを選択 
し、 [—] をクリックすることでそのメンバを取り込むこともできます。 

アイコン 


(ホスト） 

単一のホストアドレスを登録したときにこのアイコンを設定します。 

S 

(ネットワーク） 

ネットワークアドレスを登録したときにこのアイコンを設定します。 


(グループ） 

ホストアドレス、ネットワークアドレスを複数登録したときにこのア 
イコンを設定します。 
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7. [ルール設定（アドレスグループ）に戻る] 
をクリックする。 

更新したアドレスグループが反映された 
アドレスグループー覧画面が表示されま 
す。 


アドレスグルーブ更新結果 


ファイアウォール> 詳細設定> ルール設定(アドレスグルーブ）> アドレスクルーブ更新結果「ヘルブ] 


下記のとおり、アドレスグルーブを更新しました。 


名前 


東牙、営業尸斤 

メンバ 

pi 92.168 .128.0/1 7 
192.168 .100.0/24 

コン 



ルール設定 C 7 ドレスヴル-プ)に戻る 


アドレスグループ更新結果画面 


8. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 

p-oara 

• 「ルール設定」の中で、下に「編集 
中」と表示されている項目は、各項 
目の設定内容が編集中であること 
を示します。手順6で[登録]をク 
リックしますが、この段階では新 
しい設定内容を登録しただけで、 
Express 5800 / SG 300には適 
用されていない状態であるため、 
詳細設定メニューには「編集中」と 
表示されます。作成した設定内容 
を適用するには[編集結果を適用] 
をクリックしてください。 

• [最終更新状態に戻す]をクリック 
すると、 Express 5800/ 
SG 300はアドレス グループの 更 
新前の状態に戻ります。 



VPN 肢定ウード| VPN バス段定| VPN バラメータ肢定 | 



詳細設定メニュー画面 


9. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る。 

更新したアドレスグループが Express5800/SG3 ◦◦に適用され、設定結果画面が表示されます。 

10. [詳細設定メニューに戻る]をクリックす ^ 

合 0 ファイアウオール > 詳細設定 〉設定結果 


詳細設定メニューに戻る 



新しいル-ルを翻しました。 
詳細設定メニューに戻る J 














































サービス 


サービスとは、通信種別(プ□トコル)ごとのタイプ指定(ポート番号、 ICMP タイプなど)を 
グループ化したもので、 ユーザが 自由に設定することができます。設定したサービスはサイ 
卜共通ルール、グループルールの通信種別として指定することができます。これにより、簡 
単に環境に合わせたフィルタリング設定ができます。 

サービスでは、以下のよラな設定管理を行ラことができます。 

• サービスの 確認 

• サービスの追加 

• サービスの削除 

• サービスの 更新 


サービスの確認 


すでに設定したサービスや標準定義サービスはサービスー覧画面から確認することができま 
す0 


Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 




2 . ファイアウォールメニューの「ルール設 
定」がら[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



ソフトウ X〆 アップ丁ート 


ファイアウォールメニュー画面 


3. 詳細設定メニューの「ルール設定」から 
[サービス]をクリックする。 

サービスー覧画面が表示されます。表示 
される内容は以下の通りです。 


項目 

説明 

名前 

サービスの名前です。 

メンバ 

サービスの 種別を表示します。 



VPN 設定ウド| VPN パス設定| VPNM ラメータ K 定 


7ラ-トアクシ3ン設定 
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「標準定義サービス」をクリックすると、あらかじめシステムで定義されたサービスの一覧を表 
示します。標準定義サービスはピンク色で表示され、変更•削除することができません。 

「全ザービスー覧」をクリックすると、ユーザ定義サービスと標準定義サービスを一覧表示しま 
す0 


「ユーザ定義サービス」をクリックするとユーザ定義サービスの一覧を表示します。詳細設定メ 
ニューから画面を表示した場合は、ユーザ定義サービスの一覧が表示されています。 


ルール 設定(サービス) 


フ7イアウオール〉詳細設定〉ルール設定(サービス） [ヘルブ] 


サービスを 追加| 

選択したサービスを則除 I 


ユーザ定義サービスー覧 標準定義サービスー覧全サービスー覧 



「全選択/解除 


サービスー覧画面 


具体的なサービスー覧の事例を示します。 

上記画面のウェブサービス 

TCP ポート80のサービス （ HTTP 通信）、443のサービス （ HTTPS 通信）を含むサービスとし 
て定義されています。 

上記画面のファイル転送 

TCP ポート21のサービス （ FTP 通信）として定義されています。 

上記画面のアプリケーシヨン A 

TCP ポート50080のサービスとして定義されています。 

上記画面の共通サービス 

TCP ポー ト25の サービス （ SMTP 通信）、80の サービス （ HTTP 通信）、443の サービス 
( HTTPS 通信）、110の サービス （ POP 通信）、53の サービス （ DNS 通信）、389の サービス 
( LDAP 通信 ）、 UDP ポー ト53の サービス （ DNS 通信）を含む サービス として定義されていま 
す0 
























サービスの追加 


必要に応じてサービスを追力□することができます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 


3. 詳細設定メニューの r ルール設定」がら 
[サービス]をクリックする。 

サ ー ビスー覧画面が表示されます。 





状態表示|ログ•アラート表示 





確謬/登錄1 


ソフトウ〇：アアップデート J バックアップ.リストア 


フアイ ノノ ウォールメニュー画面 



IS 証設定□ックアウト按定」ヴルーゴ肢定 J 


VPN 設定ウイザード」 VPNK ス設定」 VPMK ラメー 5設定 


アラ-トアクション設定 


詳細設定メニュー画面 


4. 「サービスを『追加』」をクリックする。 
サービス追加画面が表示されます。 


サービスを 


ルール設定(サービス） 


g > ルール設定(サービス） 


サービスを 
選択したサービスミ 

ザ^ 

/ r ウヱブサービス 

_■ 厂全選キ R/ 解除 


サービスー覧画面 
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5. サービス追加画面に表示される各項目を 
設定する。 


サービス追加 


フアイアウオール 〉 詳細設定 〉 ルール設定(サービス） > サービス勤0 




登 Sij 

サービス 追加画面 


項目 

説明 

名前 

サービスの名称です。 

最大で32バイトまでの英数文字列、ハイフン㈠、アンダースコア （） が使用でき 
ます。全角文字（日本語）も使用できます。既存のサービスと重複 _ する名前は付 
けられません。 

メンバ 

TCP/UDP 

ラジオボタンを選択し、ポート番号を指定します。ハイ 
フン㈠で区切つて範囲を指定することができます。指定 
後、 [—] をクリックすることで登録します。 

ICMP 

ラジオポタンを選択し、右側のリストボックスからタイ 
プを指定して [—] をクリックすることで登録します。 

定義済みサービス 

ラジオボタンを選択し、右側のリストボックスから選択 
して [—] をクリックすることで登録します。 

その他のプロトコル 

ラジオボタンを選択し、右側のリストボックスから選択 
して [—] をクリックすることで登録します。 


•:一 [120 

• 同じメンバを複数登録した場合は、2つ目以降が自動的に削除されて登録されます。 
• ザービスが含むことのできるメンバの数は、最大50個までです。 

6. [登録]をクリックする。 

サービス追加結果画面が表示されます。 

I チェック I 

登録に失敗した場合には、エラー内容を示す画面を表示します。 

7. [ルール設定（サービス）に戻る]をクリツ サ-ビス追加結果 

ソ9 〇〇 ファ〇ウォール 〉 詳細設定 〉 ルール設定(サービ:〇 >サービス追吉果 

追加したサービスが反映されたサービス 
一覧画面が表示されます。 


下記のとおり、アドレスグルーブを追加しました。 


名前ブサービス 


ルール設定(サービス)に戻る 


ルール設定(サービス)に戻る 


サービス追加結果画面 
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8. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 


• 「ルール設定」の中で、下に「編集 
中」と表示されている項目は、各項 
目の設定内容が編集中であること 
を示します。手順6で[登録]をク 
リックしますが、この段階では新 
しい設定内容を登録しただけで、 
Express 5800 / SG 300には適 
用されていない状態であるため、 
詳細設定メニューには「編集中」と 
表示されます。作成した設定内容 
を適用するには[編集結果を適用] 
をクリックしてください。 

• [最終更新状態に戻す]をクリック 
すると、 Express 5800/ 
SG 300はサービスの追加前の状 
態に戻ります。 



アラートアクション設定 


詳細設定メニュー画面 


9. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
合 〇 

新しく追加したサービスが Express 5800 /SG 300に適用され、設定結果画面が表示されます。 


10. [詳細設定メニューに戻る]をクリックす 
"〇) 〇 


I 羊 設定メニューに戻る 


新しいルールを適用しました。 
詳細設定メニューに戻る J 
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サービスの削除 


不要になったユーザ定義サービスを削除することができます。 


標準定義サービスは削除できません。 

1 . Management Console トツプ画面の左 
側に表示されるメニューアイコンがら 
[ファイアウォール]をクリツクする。 

ファイアウォ _ ルメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 


3. 詳細設定メニューの r ルール設定」がら 
[サービス]をクリックする。 

サービスー覧画面が表示されます。 



I ■鼠茂柔^^^^^^^^^^^ 

状態表示| ロヴ•アラート表示 | 



ファイアウォールメニュー画面 



ユーザ段定 J EE 肢定 J ロックアウト R 定丨ゲルーゴ肢定| 


VPN 設定ウィザード I VPNK ス設定| VPNK ラメー: S 設定」 


詳細設定メニュー画面 


4. 削除したいサービスの「名前」の横に表示 
されるチェックボックスをチェックし、 
「選択したサービスを『削除』」をクリック 
する。 

響 一 I22Q 

「全選択/解除」のチヱックボックスを 
チェックすると、削除可能なサービス 
のすべてを一度に選択できます。逆 
に、「全選択/解除」のチェックボックス 
のチェックを外すと、いったんチェッ 
クボックスにチェックをつけたすベて 
のサービスを削除対象から外すことも 
できます。 


ルール設定(サービス） 


ファイアウォール > 詳細設定 > ルール設定(サービス） 


[ヘルブ] 


サそ"スを 
選択したサービ 






















































5. 別ウィンドウで削除確認のダイアログメッセージが表示されるので[〇 K] をクリックする。 


I [キャンセル]をクリックすると、削除されずにサービスー覧画面に戻ります。 
サービスが削除され、削除を反映したサービスー覧画面が表示されます。 

選択したサービスが、サイト共通ルー エラ- 

ルまたはグループルールで指定されて 
いる場合、削除することができませ 
ん。その場合、エラー内容を示す画面 
が表示されます。 


エラーの説明文中に表示される、サイ 
卜共通ルール、グループルールのリン 
クをクリックすると、それぞれサイト 
共通ルールー覧画面、グループルール 
一覧画面が表示されます。先にルール 
からサービスを削除し、再度サービス 
の削除を行ってください。 


ービス1と bbbbfl_、 使用 S れています0 


力二 Ji •.(ゲル-プ ro_ M1>T. サービス1とサービス2 Vtt 用;5れています， 
先)::)レ-ルから則！!*してください • 


エラー内容を示す画面 


6. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 


• 「ルール設定」の中で、下に「編集 
中」と表示されている項目は、各項 
目の設定内容が編集中であること 
を示します。手順 5 で [0K] をク 
リックしますが、この段階では 
サービスの 削除は 
Express 5800 /SG 300 には適 
用されていない状態であるため、 
詳細設定メニューには「編集中」と 
表示されます。作成した設定内容 
を適用するには[編集結果を適用] 
をクリックしてください。 

• [最終更新状態に戻す]をクリック 
すると、 Express 5800/ 
SG 300 はサービスの削除前の状 
態に戻ります。 



詳細設定メニュー画面 


別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る。 

サービスの削除が Express 5800 /SG3 ◦◦に適用され、設定結果画面が表示されます。 


8. [詳細設定メニューに戻る]をクリックす 

它) 〇 


ファイアウオール > 詳細設定 〉設定結果 


詳細設定メニューに戻る 


新しいルールを獅しました。 

詳細設定メニューに戻る 
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サービスの更新 

一度設定したサービスの内容を変更することができます。 
標準定義サービスは変更できません。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリツクする。 

ファイアウォ _ ルメニュー画面が表示さ 
れます。 



2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 





ファイアウォールメニュー画面 


3. 詳細設定メニューの r ルール設定」から 
[サービス]をクリックする。 

サービスー覧画面が表示されます。 




ユーザ K 定丨 EH 肢定I ロックアウト肢定丨ヴルーゴ設定| 


VPN 設定ウィザ'-ド J VPNK ス設定| VPNK ラメ 設定 J 


詳細設定メニュー画面 


4. 変更したいサービスの「名前」をクリック 
する。 


ルール 設定(サス） 


ファイアウオール > 詳細設定 > ルール設定(サービス） 


[ヘルブ] 


サービス更新画面 が 表示され ます。 サ-ビスを 也 

選択したサ'•スを 



サービスー覧画面 



















































5. サービス更新画面に表示される各項目を 
設定する。 


フアイアウオール > 詳細設定 > ルール設定(サービス) > サービス更新 


名前 |ウ：《：プサービス 



W80 -3 ric^P 

network-unreachable 1 


^cp/«3 

le Jj 

ズノバ 

'想 

gopher 


dt 

kerberos 


r その他の 
' ブロトコル 

iemp^) 

ggpO) — J 


登録」 

サービス 更新画面 


項目 

説明 

名前 

サービスの名称です。 

最大で32バイトまでの英数文字列、ハイフン㈠、アンダースコア （） が使用でき 
ます。全角文字（日本語）も使用できます。既存のサービスと重複する名前は付 
けられません。 

メンパ 

TCP/UDP 

ラジオボタンを選択し、ポート番号を指定します。指定 
後、 [—] をクリックすることで登録します。 

ICMP 

ラジオボタンを選択し、右側のリストボックスからタイ 
プを指定して [—] をクリックすることで登録します。 

定義済みサービス 

ラジオボタンを選択し、右側のリストボックスから選択 
して [—] をクリックすることで登録します。 

その他のプロトコル 

ラジオボタンを選択し、右側のリストボックスから選択 
して [—] をクリックすることで登録します。 


• 同じメンバを複数登録した場合は、2つ目以降が自動的に削除されて登録されます。 
• サービスが含むことのできるメンバの数は、最大50個までです。 


6. [登録]をクリックする。 

サービス更新結果画面が表示されます。 

7. [ルール設定（サービス）に戻る]をクリッ 
クする。 

更新したサービスが反映されたサービス 
一覧画面が表示されます。 


サービス更新結果 


フアイアウオール > 詳細鮮 > ルール設定(サービス) > サービス更新結果 


下記のとおり、アドレスグルーブを更新しました。 


_ルール設定(サービス)に戻る J 


A 


ルール設定(サービス)に戻る 


サービス更新結果画面 
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8. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 


p-oara 

• 「ルール設定」の中で、下に「編集 
中」と表示されている項目は、各項 
目の設定内容が編集中であること 
を示します。手順6で[登録]をク 
リックしますが、この段階では新 
しい設定内容を登録しただけで、 
Express 5800 / SG 300には適 
用されていない状態であるため、 
詳細設定メニューには「編集中」と 
表示されます。作成した設定内容 
を適用するには[編集結果を適用] 
をクリックしてください。 

• [最終更新状態に戻す]をクリック 
すると、 Express 5800/ 
SG 300はサービスの更新前の状 
態に戻ります。 



詳細設定メニュー画面 


9. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る。 


更新したサービスが Exp 「 ess 5800/ SG 3 ◦◦に適用され、設定結果画面が表示されます。 


10. [詳細設定メニューに戻る]をクリックす 
る。 


詳細設定 


ファイアウォール 〉 詳細設定 〉 


詳細設定メニューに戻る 



新し L 、ルールを適用しました。 

詳細設定メニューに戻る | 







































ルール設定の履歴表示 


「かんたん設定」や詳細設定メニューの「ルール設定」で設定できる各種ルールは、設定変更す 
るたびに設定情報が履歴として保持されます。この履歴情報を利用することで、過去の設定 
内容を確認したり、日時を指定してその時点の設定内容に戻したりすることができます。 

• 設定履歴を参照するには 

• 過去の設定内容に民すには 

• 設定履歴を削除するには 

設定履歴を参照するには 

日時を指定して設定した内容を参照することができます。 


1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 




I ■諸康^3 J 


状態表示 ログ•アラート表示 


確認/登録| 


ソフトウェ/アップ丁ート 


ファイアウォールメニュー画面 


3. 詳細設定メニューの「ルール設定」がら[サ 
イト共通ルール]をクリックする。 

サイト共通ルール設定一覧画面が表示さ 
れます。 



詳細設定メニュー画面 
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4. 画面右上の「設定履歴」をクリックする。 

設定履歴参照画面が別ウィンドウで表示 
されます。 



サイト共通ルール設定一覧画面 


5. 「履歴日時」のプルダウンメニューを利用 
して表示したい日時を選択し、[表示す 
る]をクリックする。 

指定した日時の履歴が表示されます。プ 
ルタ'ウンメニューの下に現在表示してい 
る設定履歴の更新時間が表示されます。 



設定履歴参照画面 

■:一 [120 

ウィンドウを開いた直後は、その時点でもっとも新しい履歴が表示されます。 


6. 「がんたん設定」、「サイト共通ルール」、「グループルール」、「サーバ公開ルール」、「流入量制限 
ルール」、「アドレス • サービス」のうち確認したい設定項目のタブをクリックする。 

それぞれの設定履歴が表示されます。 
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過去の設定内容に戻すには 

指定した設定履歴の内容に設定を戻すことができます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 


|ミ: 



状態表示 ログ•アラート表示 


ファイアウォールメニュー画团 


3. 詳細設定メニューの「ルール設定」から 
[サイト共通ルール]をクリックする。 

サイト共通ルール設定一覧画面が表示さ 
れます。 


サイト共通ル'-ル | 

f K 詳細設定 

ファ r ァウォール > 詳細設定 ## 

サイト共通ルール ヴループルール サーバ公閉ルール 流入星制限ルール 

アドレスグル'-プ」 サービス | 

最終更新日： 2004^09月16日17時3 

最終] E 新状態に戻す | 申 J 


VPN 設定ウイザード | VPNM ス設定」 VPN パラメータ設定 


アラートアクシ5ン設定 


詳細設定メニュー画面 


4. 画面右上の「設定履歴」をクリックする。 

設定履歴参照画面が別ウィンドウで表示 
されます。 



サイト共通ルール設定一覧画面 







M 

1 

i 

S 
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5. 「履歴日時」のプルダウンメニューを利用 
して表示したい日時を選択し、[表示す 
る]をクリックする。 

指定した日時の履歴が表示されます。プ 
ルタ'ウンメニューの下に現在表示してい 
る設定履歴の更新時間が表示されます。 



設定履歴参照画面 

■一 [120 

設定履歴参照画面を開いた直後は、その時点でもっとも新しい履歴が表示されます。 


6. 「かんたん設定」、「サイト共通ルール」、「グループルール」、「サーバ公開ルール」、「流入量制限 
ルール」、「アドレス • サービス」のうち確認したい設定項目のタブをクリックする。 

それぞれの設定履歴が表示されます。 


7. [利用する]をクリックする。 



設定履歴参照画面 
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8. 別ウィンドウで利用確認ダイアログメッセージが表示されるので[〇 K] をクリックする。 


Ip-OIB 

|このとき、 


指定した日時のすべての設定履歴情報が反映されます。 

このとき、詳細設定を編集中の場合は確認画面が表示されます。 

[戻る]をクリックすると、設定履歴の反映を行わないで元の画面に戻ります。 

[次へ]をクリックすると、設定中の詳細設定データを破棄して、設定履歴の反映に進みます。 


9. 設定履歴参照画面は、反映結果が表示さ 
れる。再度設定履歴を表示する場合は、 
[履歴参照画面]をクリック、設定履歴参 
照画面を閉じる場合は[画面を閉じる]を 
クリックする。 



10. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 



1. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
る。 

設定履歴が Express 5800 /SG30 ◦に適用され、設定結果画面が表示されます。 


12. [詳細設定メニューに戻る]をクリックす 
る 〇 


詳細設定メニューに戻る 


新 U 、ルールを適用しました。 

詳細設定メニューに i 
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K フィルタ経由の指定は、外部へのアクセスのみでなく内部同士ち含みます。 

r 内部からウェブ専用フィル匁圣由で外部のウェブサイトを見る。( ウェブ専用フィルタ設定〉 
「^1部からメール専用フイルタ経由で外部へメールを送る。（メール専用フィルタ設定） 


設定履歴を削除するには 

設定履歴を削除することができます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 




状態表示| ログ•アラート表示 


3. 詳細設定メニューの r ルール設定」から 
[サイト共通ルール]をクリックする。 

サイト共通ルール設定一覧画面が表示さ 
れます。 


ソフトウェアアップデート| バックアップ•リストア 


ファイアウォールメニュー画面 



ロヴ•アラ w トファイル毅定 | アラートアクシ g ン設定 


詳細設定メニュー画面 


4. 画面右上の「設定履歴」をクリックする 
と、設定履歴参照画面が別ウィンドウで 
表 7]^ される0 


則除 

Nor 



サイト共通ルール設定一覧画面 





一！！ I I Jlllll I I Jl 一一一 1 


§ S S 3 10.5w K 

I 麵 a¥¥l I IS 


uu 
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5. 「履歴日時」のプルダウンメニューを利用 
して表示したい日時を選択し、[表示す 
る]をクリックする。 

指定した日時の履歴が表示されます。プ 
ルタ'ウンメニューの下に現在表示してい 
る設定履歴の更新時間が表示されます。 



設定履歴参照画面を開いた直後は、その時点でもっとも新しい履歴が表示されます。 


6. 「かんたん設定」、「サイト共通ルール」、「グループルール」、「サーバ公開ルール」、「流入量制限 
ルール」、「アドレス • サービス」のうち確認したい設定項目のタブをクリックする。 

それぞれの設定履歴が表示されます。 


7. [削除する]または[全て削除する]をクリッ 
クする。 

[削除する]をクリックした場合は、表示 
中の日時の設定履歴を削除します。 
[全てを削除する]をクリックした場合 
は、すべての設定履歴を削除します。 
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8. 別ウィンドウで利用確認ダイアログメッセージが表示されるので[〇 K] をクリックする。 


9. [削除する]をクリックした場合は、設定 
履歴参照画面に反映結果が表示される。 
再度設定履歴を表示する場合は[履歴参照 
画面]をクリックする。設定履歴参照画面 
を閉じる場合は[画面を閉じる]をクリッ 
クする。 

[全てを削除する]をクリックした場合 
は、設定履歴参照画面に反映結果が表示 
される。 

設定履歴参照画面を閉じる場合は[画面を 
閉じる]をクリックする。 


履歴参照画面 画面を閉じ6 



設定履歴参照画面 
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詳細設定メニューの「ルール設定」で設定できる「サイト共通ルール」、「サーバ公開ルール」、 
「流入量制限ルール」、「サービス」、「アドレスグループ」の設定内容を記述したファイルを 
Express 5800 / SG 300からエクスポートしたり、インポートしたりすることができます。 

• 設定内容のインポート 

• 設定内容のエクスポート 


設定内容のインポート 

詳細設定メニューの「ルール設定」で設定できる「サイト共通ルール」、「サーバ公開ルール」、 
「流入量制限ルール」、「サービス」、「アドレスグループ」の設定内容を記述したファイルを 
Express 5800 / SG 300にインポートすることができます。 


1 . Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2. ファイアウォールメニューの「ルール設 
定」がら[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 




状態表示| ログ•アラ'-卜表示 


ソフトウ0:アアップデート | バックアップ.リストア 


フアイアウオールメニュー画面 


3. 詳細設定メニューの r ルール設定」がら 
[インポート/エクスポート]をクリックす 
含 〇 

インポート/ェクスポート画面が表示され 
ます。 



詳細設定メニュー画面 



イン ホート/エ クス ホー 


ファイアゥォ—ル機能の設定方法 


207 









































4. [参照]をクリックしてインポートしたい 
ファイルを指定し、[インポート]をク 
リックする。 

インポートファイル内容確認画面が表示 
されます。各タブをクリックすると、設 
定内容が表示されます。 


ファ-〇 7 ^才^ ■ 


尤 


-ナサ'-ビス■サイトルール: Sx クスボ'■卜します。 


采読み込みたいインポートファイルを参照ポタンか6還んでインボートボタンを押してください。 
ファイル名 | 参照 … I 


I チェック] 


ファイルのインタフェース情報が異なる場合は、インポートできません。エラーメッセー 
ジが表示され、[利用する]は使用できなくなります。 

ユーザが設定した「アドレスグループ」、「サービス」を利用してグループルールを設定して 
いる場合に、そのアドレスグループ、サービスが登録されていないファイルをインポートす 
ると エラー になります。 

グループルールはインポート対象外です。 


5. [利用する]をクリックする。 

6. 別ウィンドウで確認ダイアログメッセー 
ジが表示されるので [0 K ] をクリックす 
る 0 

インポート結果確認画面が表示されます。 




7. [インポート/エクスポートに戻る]をク 
リックする。 


フオール > 詳細設定 > インポート/ェクスポート > 心ポートファイル内容確認〉結果 


ts and Settings ¥ いであす¥デスクトッブ ¥ fcftnn _ export _ 12233 ayarule の設定内容を詳細設^に反映いたしました。 
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8. 詳細設定メニューに戻り、[編集結果を適 
用]をクリックする。 



9. 別ウィンドウで編集結果適用確認のダイアログメッセージが表示されるので、[〇 K] をクリックす 
"〇) 〇 

インポートしたファイルの内容が Express5800/SG3 ◦◦に適用され、設定結果画面が表示されま 
す0 


12. [詳細設定メニューに戻る]をクリックす 
^〇) 〇 


、ルールを適用しました。 

詳細設定メニューに i 



詳 設定メニューに戻る 
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設定内容のエクスポート 

詳細設定メニューの「ルール設定」で設定できる「サイト共通ルール」、「サーバ公開ルール」、 
「流入量制限ルール」、「サービス」、「アドレスグループ」の設定内容をファイルにェクスポー 
卜することができます。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォ _ ルメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



ファイアウォールメニュー画面 


3 . 詳細設定メニューの「ルール設定」から 
[インポート/エクスポート]をクリックす 

る。 

インポート/エクスポート画面が表示され 
ます。 



最】更？4松に戻す」 ] インボート/ •! ■クスボート | 


| 卜费舲， 


ユーザ肢定丨 IS 証設定丨 ロックアウト K 定Iゲルーゴ肢定I 



詳細設定メニュー画面 


4 . [エクスポート]をクリックする。 


ファイルのダウン□ー ド画面が表示され 
ます。保存をクリックして、保存先を指 
定します。 


フ7イア^オール〉詳 i 



/L 


-ナサ'-ビス■サイトルールクスボートします0 




※現在のアドレスグルーナサ ー ビス • サイトル'-ル«エクスボ'■卜します。 
エクスポート| 
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ューザ設定 

Express 5800 / SG 300 を利用してネットワークにアクセスするユーザの管理を行うことができます。 
ユーザ設定では、以下の項目を設定/管理します。 


ユーザ設定 . Express 5800 / SG 300が管理するユーザの登 

録、削除、変更が行えます。 

認証設定 . ユーザ認証を利用するかどうかを設定します。 

ロックアウト設定 . ユーザ認証のエラーの上限を設定し、設定値を超 

えて認証に失敗したユーザはアクセスできないよ 
ラにします。 

グループ設定 . ユーザをグループに分けて登録 • 管理することが 

できます。 


■ザ設定 


Express 5800 / SG 300 を利用したユーザ管理では、以下のよラな設定 • 管理を行ラことがで 
きます。 

• ユーザ情報の確認 

Express 5800 / SG 300が管理するユーザ情報を表示します。 

• CSV ファイルを経由したユーザの一括登録 

CSV ファイルに記録したユーザ情報を読み込んで登録します。 

• ユーザの 個別追加 

ユーザを個別に登録します。 

• ユーザ情報の削除 

登録したユーザ情報を削除します。 

• ユーザ情報の更新 

登録済みのユーザ情報の内容を修正します。 

• ユーザ情報の CSV ファイルへの出力 

登録されているユーザ情報を CSV ファイルに出力します。 
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ユーザ情報の確認 

登録されているユーザ情報を確認することができます。 


1 .Management Console トツプ画面の左 
側に表示されるメニューアイコンがら 
[ファイアウォール]をクリツクする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



ファイアウオールメニュー画面 


3 . 詳細設定メニューの「ユーザ設定」から 
[ユーザ設定]をクリックする。 


詳細設定 


ファイアウォール > 詳細設定 


[ヘルブ] 


ユーザ情報一覧画面が表示されます。表 
示される内容は以下の通りです。 

籲ユーザ ID 

登録されているユーザ ID です。 

籲ユーザ名 

登録されているユーザの名前です。 

• 利用期間 

利用可能な期間です。 

參所属グループ 

アイコンをクリックするとグループ 
の詳細情報を確認することができま 
す。 



詳細設定メニュー画面 


ユーザ設定 


I チェック I 

ユーザ情報の一覧において、背景が黄 
色のユーザは、利用できないユーザで 
あることを表しています。利用できな 
いユーザとは、利用期間外となってい 
るが、利用一時停止となっているユー 
ザを指します。 


フアイアウオール > 詳細酿 > ユーザ酿 


ユーザ ID 「 

CSV77 ィルからユーザ情報を 
CSV77 イルにすベてのユーザ情報を 
一覧末尾にユーザを 
選択 U： ユーザを 
全21件中1〜5件目を表示 


飞 枝索 I 
登錄 J 
出力」 

进加| 

肖 1 滁 11頁に表示するレコイ P 件 邱央 I 

—箱の5件 I A の5件— 


| r User000Q1~ 

山田太郎 

2003年09月08日〜2004^09月01日 

及 

厂 testOI 

p スト01 j 



厂 testll 

テスト11| 


及 

厂 test13 

p スト13 | 



「「 test14 

p スト14 " 


\ZAlJ 


用一 B 寺停止中です。 
r 全逞折/解除 


卜 U の5件|12 3 4 5 1 次の5件— 


ユーザ情報一覧画面 


















































■ 

ユーザ ID からユーザ情報を検索す 
るには、ユーザ情報をテキスト 
ボックスに入力し[検索]をクリック 
します。指定したユーザ ID のユー 
ザが表示されます。 

「1頁に表示するレコード」の入力 
フィールドに件数を入力し、[反映] 
をクリックすると、その指定した 
件数でユーザ情報を一覧表示しま 
す0 





—15 の5件丨1丨次の5件- 


ユーザ情報一覧画面 


CSV ファイルを経由したユーザの一括登録 

あらかじめユーザ情報を CSV ファイルで作成しておけば、 CSV ファイルを読み込ませること 
でユーザを一括登録することができます。 

作成する CSV ファイルは以下のようなフォーマットで作成します。これ以外のフォーマット 
では、正しく読み込むことができません。 

ユーザ ID ， 認証方式，パスワード，システム情報，システム情報，利用一時停止フラグ，システム情 
報，利用開始年月日，利用停止年月日，ユーザ名，備考 

I n-O データの途中に不要なスペースなどは入れないでください。不要なスペースが入っていると 
正しく読み込めない場合があります。 


カラム 

項目 

入力規則 

必須/任意 

1 

ユーザ ID 

最大で256バイトまでの英数文字列、ハイフン 
(-) 、アンダースコア （） 、アット マーク 
(@)、ピリオド （.） が使用できます。 

必須 

2 

認証方式 

現在は password に固定です。 

必須 

3 

パスワード 

6バイト以上256バイト以内の英数文字列で指定 
します。 

平分でパスワードを登録するときは、パスワー 
ドのみを指定してください。八ッシュされたパ 
スワードを指定する場合は、先頭に” {SHA1}” と 
つけて登録します。取得した CSV ファイルで 
は、ハッシュされたパスワードが指定されま 
す。 

必須 

4 

システム情報 

空白を指定してください。 

取得した CSV ファイルを利用する場合は、編集 
しないで下さい。 

任意 

5 

システム情報 

空白を指定してください。 

取得した CSV ファイルを利用する場合は、編集 
しないで下さい。 

任意 

6 

利用一時停止フラグ 

〇は利用可、1は利用不可です。 

値が1のときはユーザ認証に失敗します。省略し 
た場合は利用可（◦を指定した場合と同じ）とな 
ります。 

任意 
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カラム 

項目 

入力規則 

必須/任意 

7 

システム情報 

空白を指定してください。 

取得した CSV ファイルを利用する場合は、編集 
しないで下さい。 

任意 

8 

利用開始年月日 

YYYY / MM / DD 形式で入力してください。 

省略した場合は利用開始制限無しとなります。 

任意 

9 

利用停止年月日 

YYYY / MM / DD 形式で入力してください。 

省略した場合は利用停止制限無しとなります。 

任意 

10 

ューザ名 

最大で128バイトまで指定できます。 

カンマ(,)、ダプルクォーテーシヨン〇、改行は 
使用できません。 

必須 

11 

備考 

最大で2048バイトまで指定できます。 

カンマ (,) 、ダプルクォーテーシヨン ( n ) は使用で 
きません。 

任意 


n -〇 読み込む csv ファイルは、ファイアウォールが動作している機器上ではなく、 
hfe 当 Management Console を表示している管理クライアント上に保存してください 0 


1 .Management Console トツプ画面の左 
側に表示されるメニューアイコンから 
[ファイアウォール]をクリツクする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



状態表示| ログ•アラート表示 [ 



ファイアウォールメニュー画面 


3 . 詳細設定メニューの「ユーザ設定」がら 
[ユーザ設定]をクリックする。 

ユーザ情報一覧画面が表示されます。 


詳細設定 


フアイアウオール 〉詳細設定 


[ヘルブ] 



詳細設定メニュー画面 












































CSV フアイル入力候補一覧画面 


C SV 77 イルから ユーザ情報を 


登錄| 


フアイアウオール 〉 詳細設定 〉 


ュ-ザ設定// 
—を， 


ユーザ ID 「 

CSV77 ィルからユーザ情報を 
CSV77 ィルにすべてのユーザ情報を 出力 J 

一覧末尾にユーザを 追加| 

選択したユ“ザを 刖除 |1頁に表示するレコ'-ド p 件 反■央I 

全21件中1〜5件目を表示 —w の5件 I A の5件-> 

jr UserOQOOl 山田太郎2003年09月08日〜2004年09月01日 及 

「「 testOI |テスト01「 | 


p スト13 
テスト14 


CSV7 アイル入力 


フアイアウオール > 詳細設定 > ユーザ設定 > CSV77 イル入力 


※読み込みたい 〗csv^ イルを参照ボタンから通んで登錄ボタンを押すと、- 


^7^ 


,名 Documerits and SeUingsH、 で®す¥デスクト 参照... | 
ファイル内容確認 I 


CSV ファイル入力画面 


r 重複 ユーザは 上書き登録する 
F 重複 ユーザは 登録しない 



CSV77 ィル入力候補一覧 


4 . 「CSV ファイルからユーザ情報を『登録』」 
をクリックする。 

CSV ファイル入力画面が表示されます。 


5 . テキストボックス内に直接ファイル名を 
入力するか、[参照]をクリックし、管理 
クライアントに保存されているファイル 
の中がら該当ファイルを指定する。ファ 
イルを指定したら[ファイル内容確認]を 
クリックする。 

指定されたファイル内容が解析され、 
CSV ファイル入力候補一覧画面が表示さ 
れます。 

6 . CSV ファイルと既に登録されたユーザ情 
報の中に重複データがある場合は、「重複 
ユーザは上書き登録する」または「重複 
ユーザは登録しない」のどちらがのラジオ 
ボタンをクリックする。 

背景が黄色のユーザ情報は、 CSV ファ 
イルの解析に失敗したレコードであるこ 
とを示します。このレコードのデータ 
は、ユーザ情報登録の対象とはしませ 
ん〇 

7 . [登録]をクリックする。 

CSV ファイル入力結果画面が表示されま 
す。 

[キャンセル] をクリックすると 、 CSV 
ファイル入力画面に戻ります。 


^ W ^ ^ 12457801346790369258 

1 hBu 2 2 2222 T1MM MMMMT22 2 2 M MM 

rlsBffl ススス I ススススススススススススススススース 

1?■ 一 : i_^^Elk^^^^^^^^lihM.^^^^^F 

一 i __一 

8fBr000102040507081011131416171920030609121518 

llBuseltesttesttesttesttesttesttestl ltesttssttestltesttesttesttestltest 
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8 . CSV ファイル入力結果画面を確認し、 
[ユーザ設定に戻る]をクリックする。 


CSV77 イル入力結果 


[ヘルブ] 


I チェック I 

• 背景が黄色で色づけされたユーザ 
情報は、登録に失敗したレコード 
であることを示します。 

• 背景が緑色で色づけされたユーザ 
情報は、すでに登録されていたレ 
コードのため、登録を行わなかつ 
たことを示します。 


ユーザ情報一覧画面に戻ります。このと 
き、新しく登録されたユーザ情報が一覧 
に反映された形で表示されます。 


下記のとおり、ユーザを一括登録しました。 


UserOOOOl |山田太郎 12003年09月08日〜2004年09月01日 

testOI 

テスト 01 


test02 

テスト 02 


test04 

テスト 04 


test05 

テスト05 


test07 

テスト07 


test08 

テスト08 


testIO 

テスト10 


testl1 | ァスト 11 


test13 テスト 13 


jtest14 | テスト 14 




|test17 | テスト 17 


testl9 i ァスト 19 


test20 

テスト20 


test03 

テスト03 


test06 

テスト06 


test09 

テスト09 


testl2 

テスト12 


testl5 

テスト15 


testl8 

テスト18 




CSV ファイル入力結果画面 


ユーザの個別追加 

ユーザ情報を個別に追加することができます。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリツクする。 

ファイアウォ _ ルメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



ファイアウォールメニュー画面 
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3 . 詳細設定メニューの「ユーザ設定」から 
[ユーザ設定]をクリックする。 

ユーザ情報一覧画面が表示されます。 


ファイアウォール > 詳細設定 


サイト共通ルール I ヴループルール1 サーバ公 P 為ルール」 流入量釗限ルール 

アドレスヴルーゴ」サービス I 


最終更新日： 2004年09月16日17時34分56秒 

最終更新状態に戻す」 編集給果を通用| インボート/ェぅ 


ユーザ設定 J 認_正設定 j □ックアウト設定 I グループ設定 J 



4 . 「一覧末尾にユーザを『追加』」をクリック 
する。 

ユーザ情報追加画面が表示されます。 



※背县が黄色で表示されたユーザは、利用期間外あるいは利 


用一 B 寺停止中です。 
r 全逞択/解除 


卜 W の5件| 1 2 3 45 1 汝の5件-> 

ユーザ情報一覧画面 


> ユーザ設定 〉ユーザ新規追加 


ユーザ ID [SserOOOOl 

バスワード|""" 

再バスワード~ 


-- 


^ 12003年 |〇 9 二 J 月 |〇 8 二 J 日〜12005年 |m 二 J 月丨〇 1 二]日 
「 利用^-時停 

一登錄 I 


ユーザ情報追加画面 


5 . ユーザ情報追加画面に表示される各項目 

を入力する。 22 

• ユーザ名（必須項目） 

追加するユーザを表す名称を入力し 
ます。最大で128バイトまでの任意 
の文字列を受け付けます。ただし、 

二重引用符 ("） とカンマ(，）を含めるこ 
とはできません。 

• ユーザ ID (必須項目） 

追加するユーザを一意に表す ID を入 
力します。最大で256バイトまでの 
英数文字列、ハイフン(-)、アンダー 
スコアし）、アツトマーク（@)、ピリ 
オド C)i 受け付けます。ただし、二 
重引用符 ("） とカンマ(，）を含めること 
はできません。すでに同じユーザ ID 
の情報が登録されている場合には、 

登録に失敗します。 

• パスワード（必須項目） 

追加するユーザのパスワードを入力します。6バイトから256バイトまでの英数文字列を受け 
付けます。 

• 再パスワード(必須項目） 

追加するユーザのパスワードをもう一度入力します。 
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備考 

追加するユーザに関する備考を入力します。最大で2048バイトまでの任意の文字列を受け付 
けますが、二重引用符 (") およびカンマ(，)を含めることはできません。 


• 利用期間 

追加するユーザの利用期間を限定するか、無制限にするかを選択します。利用期間外のとき 
には、追加するユーザは□グインできません。 

• 利用を一時停止する 

運用上の理由などにより、追加するユーザの利用を一時停止したい場合、このチェックボッ 
クスにチェックをつけます。 


6 . [登録]をクリックする。 


ユーザ新規追加 


ユーザ情報追加結果画面が表示されま 
す。 

ユーザ情報の登録内容が入力規則に違反 
している場合は、エラー内容を示す画面 
が表示されます。 



ユーザ情報追加画面 


7 . 所属グループを設定する場合は、[所属グ 
ループ設定へ]をクリックする。所属グ 
ループ設定画面が表示されるので、所属 
グループー覧から所属するグループの 
チェックボックスをチェックし、[登録] 
をクリックする。 

所属グループ設定結果画面が表示されま 
す。 



ユーザ情報追加結果画面 


8 . 所属グループを設定しない場合は、ユー 
ザ情報追加結果画面の[ユーザ設定に戻 
る]をクリックする。 

所属グループを設定した場合は、所属グ 
ループ登録結果画面の[ユーザ設定に戻 
る]をクリックする。 

ユーザ情報一覧画面に戻ります。このと 
き、新しく登録されたユーザ情報が一覧 
に反映された形で表示されます。 

所属グループを設定するには、あらか 
じめ「グループ設定」をする必要があり 
ます。「グループ設定」については、229 
ぺージを参照してください。 


所属グルーブ設定結果 

ファイアウオール > 詳細設定 > ユーザ酿 > ユーザ新規勤 D >所属グルーブ設定〉設定結果 
下記のとおり、所属グルーブを設定しました。 

山田太郎 /UserOOOOl 

groupOl I 

I _ユーザ 設定に戻る_ 


所属グループ設定結果画面 














































ユーザ情報の削除 


利用権限のなくなったユーザを削除することができます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 




状態表示|ログ•アラ'-卜表示 


確謬/登録I 


ソフトウ〇:アアップデート J パッ W ップ•リストア | 

ファイアウォールメニュー画面 


3 . 詳細設定メニューの「ユーザ設定」から 
[ユーザ設定]をクリックする。 

ユーザ情報一覧画面が表示されます。 


ファイアウォール > 詳細設定 


サイト共通ル'-ル」プループルール|サーバ公ルー j 


アドレスグループ J サービス 


最終更新日： 2004年09月16日17時34分56秒 

最終更新状態に戻す インポート/エクスポート 


ユーザ設定 EE 說定 ロックアウト訣定 ブル—ブ設定 
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4. 削除したいユーザのチェックボックスに 
チェックをつけ、「選択したユーザを『削 
除』」をクリックする。 




※背杲が黄色で表示されたユーザは、利用期間外あるいは利 
用一時停止中です。 


卜苗の10件I123_| 次の10件-> 


ユーザ情報一覧画面 


5. 別ウィンドウで削除確認のダイアログメッセージが表示されるので[〇 K] をクリックする。 


[キャンセル]をクリックすると、削除されずにユーザ情報一覧画面に戻ります。 
ユーザ情報が削除され、ユーザー括削除結果画面が表示されます。 


I チェック I 

背景が黄色のユーザ情報は、削除に失敗したレコードであることを示します。 


6. [ユーザ設定に戻る]をクリックする。 

ユーザ情報一覧画面に戻ります。このと 
き、削除したユーザ情報は一覧に表示さ 
れません。 


|test20 [ナスト2。 

7 ^- 

I _ユーザ 設定に戻る_ 


ユーザー括削除結果画面 


ユーザー栝削除結果 


ファイアウォール > 詳細設定 > ユーザ酿 > 一括削除結果 


下記のユーザを一括肖齡ました。 
米背杲が黄色で表示3れたユ ー ザ c 


|User00001 

山田太郎 

12003年09月08日〜2004年09月01日 

|test1 1 

テスト11 


|test13 

p スト13 


|test16 

テスト16 
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ユーザ情報の更新 



ユーザ情報に変更があった場合、変更のあった項目のみ更新することができます。 


1 . Management Console トップ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」がら[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 





ソフトウェアアップデート | パッ开ップ•リストア | 

ファイアウォールメニュー画面 


3 . 詳細設定メニューの「ユーザ設定」がら 
[ユーザ設定]をクリックする。 

ユーザ情報一覧画面が表示されます。 


フアイアウオール〉詳細設定 


サイト共通ル'-ル」 グル'-プルール」 サーバ公ルー」 


アドレスプル'-プ J サービス 」 

最終更新日：2004年09月16日17時34分56秒 

最 K 更新状脚こ戻す^ 編集結果を適用 J インボート/エクスポート 



ユーザ設定 設定 ロックアウト設定 プル•—フ設定 


ド」 WN バス設定」^ VPN バラメータ設定 


ログ•アラートファイル設定^ アラートアクシ3ン設定 


詳細設定メニュー画面 
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4 . 情報を更新したいユーザの ID をクリック 
する。 

ユーザ情報更新画面が表示されます。 


フア〇 7 ウオール > 詳細設定 > ューザ設定 


ユーザ ID 厂 を検索I 

CSV 77 イルからユーザ情報を 登録」 

CSV 77 ィルにすベてのユーザ情報を 出力」 

一覧末尾にユーザを 追加 I 

選択したューザを 削除 |1頁に表示するレコ-ド 

全21件中 1 〜10件目を表示 — 苗の 1 (H 



5 . ユーザ情報更新画面で更新したい項目を 
力する。 


參ユーザ名 

ユーザを表す名称を入力します。最 
太で128バイトまでの任意の文字列 
を受け付けます。ただし、二重引用 
符 ("） とカンマ(，）を含めることはでき 
ません。 

參ユーザ ID 

変更することはできません。 

• パスワード 

ユーザのパスヮードを入力します。6バイトがら256バイトまでの英数文字列を受け付けま 
す。空白の場合、すでに登録されているパスヮードが適用されます。 

參再パスワード 

ユーザのパスヮードをもう一度入力します。空白の場合、すでに登録されているパスヮード 
が適用されます。 

• 備考 

ユーザに関する備考を入力します。最大で2048バイトまでの任意の文字列を受け付けます 
が、二重引用符〇およびカンマ(，)を含めることはできません。 

• 利用期間 

ユーザの利用期間を限定するか、無制限にするかを選択します。利用期間外のときには、ユー 
ザは□グインできません。 

春利用を一時停止する 

運用上の理由などにより、ユーザの利用を一時停止したい場合、このチェックボックスに 
チェックをつけます。 


フ7イアウオール 〉 詳細設定 〉 


p ■- ザ ID ] 

田太郎 

UserOOOOl 

R スヮ-ド 

U ヮ-ド 

ラード変更を行う場合のみてください 

※バスワード変更を行う塌合のみ入力してください 

備考 

システム聞発部 

d 

利用期間 

。無制限 

^ 1^55" 年 [oT3 月|08 i 日〜|2004年阿フ]月 [ F 3 日 
「和佣を一時停止 

M?/t| 


ユーザ情報更新画面 


222 


































6. [更新]をクリックする。 


ユーザ情報更新結果画面が表示されます。 

ユーザ情報の登録内容が入力規則に違反している場合は、エラー内容を示す画面が表示されま 
す。 


7 . [ユーザ設定に戻る]をクリックする。 

ユーザ情報一覧画面に戻ります。このと 
き、更新したユーザ情報が一覧に反映さ 
れた形で表示されます。 


ーザ情報変更結果 


ユーザ情報変更変更結果 


下記のとおり、ユーザ情報を変更しました。 


P —ザ名 

山田太郎 

p ■-ザ ID 

UserOOOOl 

備考 

システム閡宪鉢 

利用期間 

叫03年09月08日〜2004^09月01日 

ユー j 設定に戻る | 




ユーザ情報更新結果画面 


ユーザ情報の CSV フアイルへの出力 

Express 5800 / SG 300が管理しているユーザ情報を CSV ファイルに出力することができま 
す0 


1 . Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」がら[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 


| 二-:] 



ソフトウェアアップデート J バックアッゴ■リストア 


フアイ ノノ ウォールメニュー画面 
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3 . 詳細設定メニューの「ユーザ設定」から 
[ユーザ設定]をクリックする。 


詳細設定 



ユーザ情報一覧画面が表示されます。 




サイト共通ルール ヴループルール 


最終更新日：2003年09月17日20時18分36秒 

最終更新状態に戻す 





4 . 「CSV ファイルにすべてのユーザ情報を 
『出力』」をクリックする。 

ファイル保存先指定画面が表示されま 
す。 



全21件中彳〜 5 件目を表示 



※背杲が黄色で表示されたユーザは、利用期囿外あるいは利 
用一時停止中です。 

厂全逞折/解除 — K の5件|12 3 45 1 汝の5件-* 


ユーザ情報一覧画面 


5 . ファイル名と保存先を指定し、[保存]をクリックする。 

管理クライアント上に以下の形式で CSV ファイルが保存されます。 


カラム 

項目 

1 

ユーザ D 

2 

認証方式 

3 

パスワード 

4 

システム情報 

5 

システム情報 

6 

利用一時停止フラク' 

7 

システム情報 

8 

利用開始年月日 

9 

利用停止年月日 

10 

ユーザ名 

11 

備考 


出力に失敗した場合は、エラー内容を示す画面が表示されます。 
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外部ネットワークから内部ネットワークに存在する端末にアクセスするときや、内部ネット 
ワークから外部ネットワークに存在する端末にアクセスするときは、ファイアウォールとな 
る Express 5800 / SG 300を介して通信を行います。このとき、ユーザ認証によりユーザごと 
に使用する通信を許可することができます。ユーザ認証の利用の設定では、ユーザ認証を利 
用するかどうかを設定します。 


響 一 

fETTI 


• ユーザの 認証は、 「ユーザ 設定」 で 登録した ユーザ ID 、 パスワードにより行います。ま 
た、認証を行った ユーザごとに 通信の許可を行う場合は、 ユーザを「グループ 設定」 で 
ユーザグループに 所属させ、該当 ユーザグループの「グループルール」 を設定する必要 
があります。 

• 認証設定は、かんたん設定ウィザードからも設定することができます。ここで認証設定 
を更新すると、かんたん設定ウイザードで設定した認証設定も更新されます。 


リモートアクセス VPN を利用する場合は、「ユーザ認証を利用する」に設定してくださし、。 
認証の受付は「すべてのネットワークから許可する」に設定してください。 


I . Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「ルール設 
定」がら[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



刀トゥエアアップデート | 


3 . 詳細設定メニューの「ユーザ設定」から[認 
証設定]をクリックする。 

ユーザ認証設定画面が表示されます。 


フアイ ノノ ウォールメニュー画面 


ファイカォール 〉詳細設定 



詳細設定メニュー画面 


ファイアゥォ—ル機能の設定方法 
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4 . ユーザ認証の利用の有無を選択する。 


參ユーザ認証を利用しない 

ユーザ認証を利用しない場合は、この 
ラジオボタンをクリックし、手順7に進 
みます。 


♦ユーザ認証を利用する 

ユーザ認証を利用する場合は、このラ 
ジオボタンをクリックし、手順5に進み 
ます。 


フ TM? ウォール > 詳細設定 > ューザ認証設定 



r ユーザ認証を利用しない 
«■ ユーザ認証を利用する 


ユーザ認証設定画面 


5 . ユーザ認証ウェブのポート番号を指定する。 


デフォルトでは「443」に設定されていま 
す。通常変更する必要はありません。 


r ユーザ認証を利用しない 
^ューザ認証を利用する 
ューザ認証ウヱブのポート番号を|443~とする 
どこからの認証を許可しますか？ M 
^ 内部ネットワー如、らのみ許^! 

「 すべてのネットワ-クから許/1 

^ /L 


阿 


ユーザ認証設定画面 


6 . ユーザ認証の受付を設定する。 

參内部ネットワークがらのみ許可する 

ユーザ認証のためのアクセスを、内部 
ネットワークからのみ受付けます。 

籲すべてのネットワークから許可する 

ユーザ認証のためのアクセスを、どこ 
がらでも受け付けます。 


ファイアウオー J し〉 


A 


r ユーザ認証を利用しない 

^ユーザ認証を利用する 

ユーザ認証ゥヱブのボート番号を|443~とする 

どこからの認証を許可しますか？ 

内部ネットヮー如、らのみ許可する 
すべてのネット 1 • • 


ネットワークから許可する— 
更新| 


r 内部ネットワークからのみ許可する 
^すべてのネットワークから許可する 


ユーザ認証の受付画面 


7 . [更新]をクリックする。 

ユーザ認証設定完了画面が表示されます。 


8. 画面に表示されているいずれかのボタン 
をクリックする。 


フ7イアウオール 〉 詳細設定 〉 ユーザ認証設定 〉 


[詳細設定画面]をクリックすると詳細設 
定画面が表示されます。 

[ユーザ認証設定に戻る ] をクリックする 
と設定が反映されたユーザ認証設定画面 
が表示されます。 


ューザ認証_こ跡ルました • 
詳細設定画面| ユーザ認証設定に戻る 



詳細設定画面 J ユーザ認目正設定に戻る 


ユーザ認証設定完了画面 
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ックアウト設定 


複数回に渡りユーザ認証に失敗したユーザについて、一定期間そのユーザをロックアウトす 
ることができます。 


響 L 

rpn 


ロックアウトとは、繰り返し認証に失敗すると、一定時間そのユーザ名でログインすること 
を無条件に禁止し、その間は正しいパスワードを入力してもログインさせない仕組みです。 
本機能により、パスワードを繰り返し入力することによって、正しいパスワードを特定し、 
認証を通過しようとする攻撃を防ぐことが可能です。 


1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」か6[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



I 詳細設定| I 

^ ール M m 


状態表示 I ログ•アラート表示 


ソフトウェアアップデート」バックアップ.リストア 


ファイアウォールメニュー画面 


3 . 詳細設定メニューの「ユーザ設定」から 
[ロックアウト設定]をクリックする。 

ロックアウト設定画面が表示されます。 


フアイアウオール〉詳細設定 


I サイト共通ルー 


•ル」 グルーゴルール」 サーバ公 P 肩ルー j 


アドレスプル'-プ J サピス 」 

最終更新日： 2004年09月16日17時34分56秒 

最わ更新状態に戻す^ 編集結果を適用 J インボート/エクスポート 



詳細設定メニュー画面 


ファイアゥォ—ル機能の設定方法 
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ロックアウト設定 


4. 画面に従い認証失敗をカウントする時間 
(秒）、□ックアウトするまでの回数、 
ロックアウトされた ユーザに よる□グイ 
ン不能な時間(秒)を設定する。 

■一圆 

[フォー厶のデータを元に戻す]をクリッ 
クすると、変更前の値に戻ります。 

5. [適用]をクリックする。 


ファイアウオール〉詳細設定〉ロッケわ卜設定 [ヘルブ1 


□ッタアウトの 解除 I 

["※ログイン時にバスワードを速続して間遣えると、一定畤間(最穴604800秒間〉、ロヴイン不可にしま 


戈他人による不正使用を抑止します。 

ユーザログイン時、 |60 T " 秒間に、|2~回、バスワードを間違えると 
||6〇〇~秒間、ログイン不可にします。 



入力したロックアウト設定の内容で□ッ 
クアウト機能を適用され、ロックアウト 
設定完了画面が表示されます。 


ロックアウト設定画面 


•:一 [12 D 

[ロックアウトの解除]をクリックする 
と、ロックアウト中の全ユーザのロッ 
クアウトを解除します。クリックする 
と確認画面が表示されるので、ロック 
アウトを解除する場合は [OK] をクリッ 
クします。解除が完了すると、解除完 
了画面が表示されます。 


6. [ロックアウト設定に戻る]をクリックする。 


フアイアウオール 〉 詳細設定 〉 


> ロックカト跪完了 


ロックァゥト_こ^ bu ました。 
ロックアウト設定に戻る | 


ロックアウト設定に戻る 
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グル■プ設定 


Express 5800 / SG 300 を利用したユーザ管理では、グループを作成しユーザをグループ分け 
して管理することができます。グループ設定では、以下のよラな操作を行えます。 

• グループ情報の確認 

現在登録されているグループ情報を確認することができます。 

• グループ情報の追加 

グループ情報を新規に追加します。 

• グループ情報の削除 

登録したグループ情報を削除します。 

• グループ情報の更新 

登録したグループ情報の内容を変更します。 

グループ情報の確認 

登録されているグループ情報を確認することができます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



ファイアゥォ—ル機能の設定方法 
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3 . 詳細設定メニューの「ユーザ設定」から[グ 
ループ設定]をクリックする。 


詳細設定 


フアイアウオール 〉詳細設定 


[ヘルブ] 



詳細設定メニュー画面 


グループ情報一覧画面が表示されます。 

表ホされる内容は以ドの通りで" 5" 〇 ファイアウォール > 詳細設定 > グルーブ離_ 


參グループ名 

登録されているグループの名称で 
す。 


• 利用期間 

利用可能な期間です。 


參所属 ユーザ 

アイコンをクリックするとユーザの 
情報を確認することができます。 



r 全逛折/解除 の20件|1丨次の20件— 


グループ情報一覧画面 


「1頁に表示するレコード」の入カフィールドに件数を入力し、[反映]をクリックすると、その指 
定した件数でグループ情報を一覧表示します。 
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グループ情報の追加 


グループ情報を新規に作成し、追力□することができます。 

1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



ソフトウェアアップデート | バックアツゴ■リストア 

ファイアウォールメニュー画面 


3 . 詳細設定メニューの「ユーザ設定」がら[グ 
ループ設定]をクリックする。 

グループ情報一覧画面が表示されます。 


ファイアウォール 〉詳細設定 



詳細設定メニュー画面 


4 . 「一覧末尾にグループを『追加』」をクリッ 
クする。 

グループ情報追加画面が表示されます。 


一覧末尾にグルーブを追加 I 




一覧末尾にグルーブを追加| 

選択 U ■こ グル'- 則除 1 1頁に表示するレコ'■ド po 件 反映 I 
全1件 中 1件 目を 表示_卜苗の20件|;欠の_" 


|「 group。 I 

r 全 is 折/解除 —15 の20件 I 1丨次の20件— 


)20 件丨次の20件— 

1 


グループ情報一覧画面 


ファイアゥォ—ル機能の設定方法 
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5 . グループ情報追加画面に表示される各項 
目を入力する。 


• グループ名（必須項目） 

追加するグループを表す名称を入力 
します。最大で256バイトまでの任 
意の文字列を受け付けますが、二重 
引用符 (") およびカンマ(，)を含めるこ 
とはできません。既に同じ名前のグ 
ループ名がある場合には登録に失敗 
します。 

• 利用期間 

追加するグループの利用期間を限定するが、無制限にするかを選択します。利用期間外のと 
きには、追加するグループに対応したグループルールの適用はされません。 

• 備考 

追加するク'ループに関する備考を入力します。最大で2048バイトまでの任意の文字列を受け 
付けますが、二重引用符 (") およびカンマ(，)を含めることはできません。 


ルーブ名|| 


利用期間 

\無制限 

C 12004年 |〇8二]月 |17二 J 日〜12005年 |03 j 月 |〇6二 J 日 

備考 

1 ゴ 


グループ情報追加画面 


6 . [登録]をクリックする。 


グループ情報追加結果画面が表示されま 
す。 




|5’ルーブ名 [Project.D 

利用期間 


poGf 年 [3^3 月[〇^3 E 


や 

紐： ■ 


グループ情報追加画面 


7 . 所属ユーザを設定する場合は、[所属ユー 
ザ設定へ]をクリックする。所属ユーザ設 
定画面が表示されるので、ユーザ D がら 
所属させるユーザのチェックボックスを 
チェックし、[更新]をクリックする。 

所属 ユーザ 設定結果画面が表示されま 
す。 

グループに所属するユーザを設定する 
には、あらかじめ「ユーザ設定」をする 
必要があります。「ユーザ設定」につぃ 
ては、211ぺージを参照してくださ 

い。 


グルーブ情報追加結果 


フアイアウオール 〉 詳細設定 〉 グルーブ設定 〉 新規追加 > 追加結果 


I KBIB 

|グルーブ1 


下記のとおり、グルーブ情報を追加しました。 


[project.D 


12004年08月17日〜2005年03月06日 



グループ情報追加結果画面 
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8. 所属ユーザ設定結果画面の[グループ設定 
に戻る]をクリックする。 

グループ情報一覧画面に戻ります。この 
とき、新しく登録されたグループ情報が 
一覧に反映された形で表示されます。 


所属ユーザ設定結果 


ファイアウォール > 詳細設定 > グルーブ設定 > 所属ユーザ設定〉設定結果 


下記のとおり、所属ユーザを設定しました。 
Project.D 


I userl 0 I katou-y 

I userl1 | kobayasi-t 

| userl3 hayasrb 

j userl4 mgasi-o 

userl6 minami-s 


ラループ設定に戻る | 

ふ 


所属ユーザ設定結果画面 


グループ 情報の削除 

不要になつたグループを削除することができます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 




状態表示| ログ•アラート表示 


LE 


確謬/登録 I 


ソフトウ I アアップデート j パッ w ップ•リストア|| 

ファイアウォールメニュー画面 


ファイアゥォ—ル機能の設定方法 
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3. 詳細設定メニューの「ユーザ設定」から[グ 
ループ設定]をクリックする。 

グループ情報一覧画面が表示されます。 


4. 削除したいグループ名のチェックボック 
スにチェックをつけ、「選択したグループ 
を『削除』」をクリックする。 


詳細設定 


フアイアウオール > 詳細設定 [ヘルブ] 



アドレスクル'-プ J サ'■ビス | 


最終更新日： 2004年09月16日17時34分56秒 

最終更新状態に戻す 丨 f : | インボート/エクスポート I 




選択したグルーブを 肖 ij 除 I 



r 全逞折/解除 — 苗の20件丨1丨次の20件— 


グループ情報一覧画面 

5. 別ウィンドウで削除確認のダイアログメッセージが表示されるので[〇 K] をクリックする。 

[キャンセル] をクリックすると、削除されずに グルー プ情報一覧画面に戻ります。 
グループ情報が削除され、グループー括削除結果画面が表示されます。 

背景が黄色のグループ情報は、削除に失敗したレコードであることを示します。 

6. [グループ設定に戻る]をクリックする。 

グループ情報一覧画面に戻ります。この 
とき、削除したグループ情報は一覧に表 
示されません。 


グループー括削除結果画面 


フアイアウオール > 詳細設定 > グルーブ設定 > 一括削除結果 [ヘルブ] 


下記のとおり、グルーブを一括削除しました。 
采背暴が黄色で表示されたヴループの刖除は、失敗しています。 
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グループ 情報の更新 


|「 group _2 


group2 
| r group3 

I I r group4 


12003 年 09 月 01 日〜 2003 年 12 月 31 日 





i 1 1 


グループ情報一覧画面 



グループ情報に変更があった場合、変更のあった項目のみ更新することができます。 


1 . Management Console トップ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 


3 . 詳細設定メニューの「ユーザ設定」から[グ 
ループ設定]をクリックする。 

グループ情報一覧画面が表示されます。 




I ソフトウェアアップデート | パッ W ップ•リストア | 

ファイアウォールメニュー画面 


フアイアウオール〉詳細設定 


サイト共通ル'-ル」 グル'-プルール」 サーバ公ルー」 


アドレスプル'-プ J サービス 」 

最終更新日：2004年09月16日17時34分56秒 

最 K 更新状脚こ戻す^ 編集結果を適用 J インボート/エクスポート 


ユーザ設定 定 口:..ウアウト設定 プルブ設定 

邐 


VPN 設定ウィザード VPN パス設定 VPN パラメー || 

U 



ロヴ•アラートファイル設定 | アラートアクシ a 二 | 

厂 

J 



ヴルーゴ設定 


詳細設定メニュー画面 


4 . 情報を更新したいグループ名をクリック 
する。 

グループ情報更新画面が表示されます。 


フ7イアウオール 〉 詳細酿 〉グルーブ設定 


一覧末尾にグルーブを追加| 

選択したグルーブを 削除1 1頁に裹壬するし]-ド|20 件反映| 

全 3 件中 1 〜 3 件目を表示 —K の20 件丨 次の20 件- 


- 


ファイアゥォ—ル機能の設定方法 
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グループ情報一覧画面 


>グルーブ情報変更 


ダルーブ名 \ 

group2 

利用期間 

r 無制限 

(? 年「厂三]月日〜年 [ TF3 月向~3日 

1備考 

1 一 ^ 

更新1 


グループ情報更新画面 


5 . グループ情報更新画面で更新したい項目 
を入力する。 

參グループ名 

変更することはできません。 

• 利用期間 

グループの利用期間を限定するが、 

無制限にするかを選択します。利用 
期間外のときには、グループに対応 
したグループルールの適用はされま 
せん。 

• 備考 

グループに関する備考を入力します。最大で2048バイトまでの任意の文字列を受け付けます 
が、二重引用符〇およびカンマ(，)を含めることはできません。 

6 . [更新]をクリックする。 

グループ情報更新結果画面が表示されます。 

7 . [グループ設定に戻る]をクリックする。 

ク'ループ情報一覧画面に戻ります。このとき、更新したグループ情報が一覧に反映された形で表 
示されます。 


8. 所属ユーザを更新する場合は、グループ 
情報一覧画面に表示される所属ユーザ情 
報のアイコンをクリックする。 

所属 ユーザ 設定画面が表示されます。 


一覧末尾にグルーブを 
選択したグルーブを 

全3件中1〜3件目を表示 


追加I 
削 


1頁に表示するレコード 


レコ-ド|20 件 跳| 

—前の20件丨次の20件— 


「 group2 2003年09月01日〜2003年12月31日 
| r group3 | I" 

「r group4 [?003 年 10 月 01 日〜2004年 03 月 31 日「 

厂全逞折/解除 — 前の20件|1|次の20件— 




i i i 
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9. ユーザ ID がら所属させる ユーザの チ ェッ 
クボックスをチェックし、[更新]をク 
リックする。 

所属ユーザ設定結果画面が表示されま 
す。 


フアイアウオー J し〉 


£>所属ユーザ設定 


| r testOI 
「「 test02 


—| 山田太郎 
テスト01 

下スト02 
—声スト04 
p スト05 
そスト07 
テスト08 


テスト11 


一12003年09月08日〜2004年09月01日 


~ test20 テスト20 

フ test03 |テスト03 

マ test06 ドスト06 

フ test09 |テスト09 

~ testl 2 テスト12 


d 


所属ユーザ選択画面 


10. [グループ設定に戻る]をクリックする。 

グループ情報一覧画面に戻ります。この 
とき、変更したグループ情報が一覧に反 
映された形で表示されます。 


所属ユーザ設定結果 


ファイアウォール > 詳細設定 > グルーブ設定 > 所属ユーザ酿〉設定結果 


下記のとおり' 所属ユーザを設定 U ました。 


XI001 山田太郎 12003年09月08日〜2004年09月01日 

17 テスト07 

6 |テスト16 

9 テスト19 

)3 テスト03 

16 テスト06 

19 丨テスト09 

ゲルー：^定に戻る 1 

ンループ設定に戻る 


所属ユーザ設定結果画面 


ファイアゥォ—ル機能の設定方法 
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VPN 設定 

Express 5800 / SG 300は IPSec を利用した VPN 通信を行うことができます。 VPN パスの管理では、 VPN 通 
信を行ラパスの設定や暗号通信方式の設定を行ラことができます。ただし、 VPN パスの中を通る通信が無 
条件に許可されることはないため、ここで定義した VPN パスの中を通る個々の通信については、別途フィ 
ルタリング設定が必要です。フィルタリング設定については、113ページの「サイト共通ルール」を参照し 
てください。また、 Express 5800 / SG 300で VPN 通信を行わず、他の VPN 機器同士の VPN 通信を通過さ 
せる場合は、 「 VPN 設定」の対象となりません。この場合、「サイト共通ルール」で通信種別 IPSec について、 
フィルタリング設定を行ラ必要があります。 

VPN パスの管理では、以下の項目の設定 • 管理を行います。 

VPN 設定ウイザード . ウイザード形式で VPN 設定を行うことができま 

す。 


VPN パス設定 . VPN のパスを環境にあわせて自由に設定すること 

ができます。 

VPN パラメータの設定 . 同時に利用できる VPN トンネル数、トランスポー 

卜数の設定を行ラことができます。 


H -〇 • VPN 通信を行うネットワークの途中にアドレス変換 (NAT/NAPT) を行う機器があると、 VPN 通信は 
行えません。 

• VPN 接続時に、停電などにより Express 5800 /SG 300の電源が OFF になると、相手側 VPN 機器に 
セキュリティアソシエーション (SA) が残るため、その残った SA の有効時間が切れるまでは VPN 接続 
ができなくなります。 

• Express 5800 /SG 300自身が IPSec を使用せず、他サーバ間の IPSec 通信の間に入る場合、ここで 
の VPN 設定は不要です。ただし、サイト共通ルールで、サーバ間の IPSec 通信を許可しておく必要が 
あります。なお、このとき、かんたん設定で「アドレス変換 (NAT/NAPT) を行う」設定をしていると、 
問題が起こることがあります(サーノ（間の IPSec で AH を使用している場合)。 

• Express 5800 /SG 300で IPSec を使用し、接続先との経路上にファイアウォールが存在する場合、 
そのファイアウォールにおいて、 IKE で使用する UDP 50〇番ポート、 AH (プ□トコル番号51)、 ESP 
(プ□トコル番号 50) を通過できるように設定する必要があります。また、上記条件のもと、かんたん 
設定で「アドレス変換 (NAT/NAPT) を行う」を設定し、 AH を使用するように設定した場合、問題が起 
こることがあります（これは IPSec の仕様による制限です）。 
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VPN 設定ウイザー 



複雑な VPN 設定をウィザード形式で簡単に設定することができます。 

VPN の接続方式としては、 LAN と LAN を VPN 接続する LAN 間接続 VPN(Gateway to 
Gateway VPN) と、リモート端末から VPN 機器にアクセスして公開されたサーバにアクセ 
スするリモートアクセス VPN(Host to Gateway VPN) があります0 

• LAN 間接続 VPN (Gateway to Gateway VPN ) :トンネルモード 

LAN 間接続 VPN (Gateway to Gateway VPN) では、自ネットワーク側 LAN のゲートウェ 
イとなる Express 5800 /SG30 〇と通信相手側 LAN の Gateway となる VPN 通信機器間で 
暗号通信を行い、装置間にあたかも仮想的なトンネルがあるかのよラに接続を行いま 
す。この方式では、 IP ヘッダを含めた IP パケット全体を暗号化し、暗号化処理を行ラ装 
置の IP アドレスを宛先として通信します。 


接縝元自ネットワーク 


新しい ip へッダ 暗合化ざれた 

ノ^ 1¢接技先 VPN 換器宛て)！_ IP へッダとデータ丨 

以 f ; ま , A 9 <9 

^ I ^ - p ^ I ^ 

‘侧 麵 vp 瞒 屬屬. 


接統先ネットワーク 


ザ '^, 


• リモートアクセス VPN(Host to Gateway VPN ) :トランスポートモード 

リモートアクセス VPN(Host to Gateway VPN) では、通信を行う端末間で暗号通信を 
行います。 IP ヘッダの暗号化は行いません。 


アクセス元ネットワーク 
(クライアン h 侧） 


自ネツトヮ_ク 


暗号化して 
送信 


ip へッダ 


晴号化ざれたデー 


一™ L - 



Windows XP 


ExpressSSOO/SG 

(目 FW) 


_ 


アクセス先サーバ ー 


VPN 設定ウイザードでは、プリシェアードシークレットを利用した自動鍵交換方式の VPN 通信 
の設定ができます。 

事前共有鍵交換方式の VPN 通信の設定は、「 VPN パス設定」で追加することができます。 


ファイアゥォ—ル機能の設定方法 
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LAN 間接続 


LAN 間接続 VPN とは、2つの LAN と LAN の Gateway となる VPN 機器 （ Exp 「 ess 58 〇〇/ 
SG 30 〇 等)の間に VPN パスを設定し、暗号化通信を行う方式です。 

VPN 設定ウィザードで設定した LAN 間接続 VPN は、自動鍵交換方式のトンネルモードとな 
ります。 

H-0 • VPN 通信を行うネットワークの途中にアドレス変換 (NAT/NAPT) を行う機器がある 

匱^ と、 VPN 通信は行えません。 

• VPN 接続時に、停電などにより SG 300の電源が OFF になると、相手側 VPN 機器にセ 
キユリティアソシエーション (SA) が残るため、その残った SA の有効時間が切れるまで 
は VPN 接続ができなくなります。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリツクする。 

ファイアウォールメニュー画面が表示さ 
れます。 


2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 




ファイアウォールメニュー画面 


3. 詳細設定メニューの 「 VPN 設定」から 
[ VPN 設定ウイザード]をクリツクする。 

VPN 設定ウイザードが表示されます。 


詳細設定 


フア T7 ウオール > 詳細酿 [ヘルブ] 


サイト共通レ-ル ^プル'-プルール」 ザ'-パ公晰レール J 流入量制册レール ] 

アドレスプルーゴ サービス I 


最終更新日： 2004年09月16日17時34分56秒 

最終更新状態に戻す I I インボート/ェう 


ユーザ設定 j 認証設定ロックアウト設定」ヴループ設定 


I 


VPN 設定ウィザ'-ド^ VPN バス設定」 VPN バラメータ設定 
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4. 「LAN 間接続 VPN」 をクリックする。 



接躞元自ネットワーク 



n 7 t 

初々 


出先のネットワ、 
ス（自助键交換: 
ルールやグル、 


トクか5自ネットワ'-ク内のサ ーJ S へのアクセスを暗号化する、 「VPN バ 
年：トランスボートモード>」の設定を行います。必要に応じて、サイト公聞 
'■プルールの追加も行います。 

アクセス元ネットワーク 
(ク5イアント側） 


VPN 設定ウィザード画面 

5. [次へ]をクリックする。 

LAN 間接続 VPN 設定画面が表示され、 LAN 間接続 VPN の設定に進みます。 

6 . LAN 間接続 VPN を設定する。 

♦接続先 VPN 機器の IP アドレス 

接続する先の VPN 機器が外部に公開し 
ている IP アドレスを設定します。 

• 名称 

LAN 間接続 VPN を識別する任意の文字 
列を指定します。 

名称は自由に設定することができま 
す。最大で256バイトまでの文字列を 
受け付けますが、二重引用符 (") および 
カンマ(，)を含めることはできません。 



>備考 

LAN 間接続 VPN に関する備考を入力し 
ます。最大で2048バイトまでの任意の 
文字列を受け付けますが、二重引用符 
(") およびカンマ(，)を含めることはでき 
ません。入力は任意です。 


I 名称 |[TaN 圊格続 VPN(SG1—SG2> ' ^ ^ 


I本社—支 

1 


[tAN 間拮続 WN(SG1—SG2) 


VPN 設定ウイザード画面 


7. [次へ]をクリックする。 

許可パス設定画面が表示され、許可パスの設定に進みます。 
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8. 許可パスを設定する。 


♦自ネットワークアドレス 

自分側のネットワークアドレスを設定 
します。 


•接続先ネットワークアドレス 

LAN 間接続 VPN で接続する先のネット 
ワークのアドレスを設定します。 

參プリ シェアードシークレツ ト 

あらかじめ、接続先と決めておいたプ 
リシ ェアー ド シークレッ トを設定しま 
す。プリ シェアー ド シークレッ トは 
VPN を使った暗号通信を実現するため 
に必要なパスワードのようなもので 
す。 


I チェック I 

プリシェアードシークレツトには必ず 
英数字を組み合わせた8文字以上50〇文 
字以内の文字列を設定してください。 




接*先ネットワ_ク 
1210.1 .1.0 /|24 




p (プリシIァ-卜 




9. [次へ]をクリックする。 

暗号化/認証アルゴリズム設定画面が表示され、接続先 VPN 機器の設定に進みます。 


10. プルダウンメニューから「接続先 VPN 機 
器の種類」を選択する。 


VPN 設定ウイザード 


フアイアウオール > 詳細齡 > VPNIS^^ —ド 


[ヘルブ] 


接続先 VPN 機器は、 「 Express 58 〇〇/ 
SG 」、 「1 X 2 01 5」「 Firewall - 1」、 
「 NetScreen 」 から選択することができま 
す。 


響 一 

• 接続先 VPN 機器を選択すると、自 
動的に適した暗号化アルゴリズ厶 
と認証アルゴリズ厶が設定されま 
す。 

• 表示される機器以外の VPN 機器を 
ご利用の場合は、 「 VPN パス設定」 
で暗号化アルゴリズ厶と認証アル 
ゴリズ厶を変更することができま 
す0 


接続先 VPN 機器の種類を遘択してください。 


接嫌元自ネットワーク 


■ 

省初: 


接縞先ネットワーク 


プリシ*ァ-卜 - シ-クレット〉 編 

16.1.85 210.1.1.1 


掊続先 VP 卜 
「Express 5800 /SG 

刪 11 1 1 

FireWall-1 


Phasel 暗号アルゴリズム : A 
E |Phase 2 暗号アルゴリズム: A 


7証アルゴリズム： SHA1 

f 1 証アルゴリズム: SHA1 


接 続先 VPN 棵器の種^ 

[Express 5800 /bG ▼] 

1 X 2015 
FireWall -1 
NetScreen 


VPN 設定ウイザード画面 


11. [次へ]をクリックする。 

設定内容確認画面が表示されます。 
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12 . 設定内容を確認する。設定した内容をす 
ぐに適用するには、[上記 VPN パスを設定 
時に有効にする]のチェックボックスに 
チェックする。 


VPN 設定ウイザード 


ファイアウォール > 詳細設定 > VPN 設定ウー f ード 


下記のように設定してよろ U、 ですか？ 


が 

555", 


Etl ： 自 FW) 
6.1.85 


癢供先 VPN 
210.1. 


接《先ネットワーク 


私雀 


名称 LAN 間接続 VPN ( S <31— SG 2) 

備考 本社 — 支社間 VPN 

B 音号化/認証 | IKF | Phas ®1 暗号アルゴリズム: AES 128& 認証アルゴリズム ： SHAll 
j アルゴリズム | IKE @ hase 2 一_号アルゴリズム: AES 128& 認証アルゴリズム: SHA 1 


V 


P 上記 VPN バスを設定 B 寺に有功化する 


VPN 設定ウイザード画面 


13. 問題がなければ[設定]をクリックする。 
設定が誤っている場合は、[戻る]で設定 
画面に戻ることができるので、設定をや 
りなおす。[キャンセル]をクリックする 
と、これまでの設定内容が破棄される。 


VPN 設定ウイザード 


ファイアウォール > 詳細設定 > VPN 設定ゥポード 


下記のように設定してよろ U、 ですか？ 

接《元自ネットワーク 接嫌先ネットワーク 


n 1 t - 

^ ^ ▲ Express 5800 /SG 

身4為 : 8 r 


接續先 VPN_S 

210.1.1.1 
種類: Express 5800 /SG 


r r r 

勒雀 


杳称 LAN 間接続 VPN ( SQ 1 一 SG 2) 

備考 本社—支ネ土間 VPN 

暗号化/認証 | TKF 「 Phase 1 B 音号アルゴリズム: AES 128 &認証アルゴリズム: SHA 1 
|アルゴリズム | IKt [ ph ase 2 B 音号アルゴリズム: AES 128& 認証アルゴリズム: SHA 1 


P 上記 VPN パスを設定時に有効化する 
戻るIキャンセル ii 黻定 n 


補 


VPN 設定ウイザード画面 


14. [設定]をクリックし、内容が正常に設定 
された場合は、結果画面が表示される。 

[VPN 設定ウィザード完了]をクリックす 
ると、詳細設定メニュー画面に戻りま 
す。 


ここで設定した VPN パスの内容は、 
[ VPN パス設定]から、変更することがで 
きます。 


VPN 設定ウイザード 


ファイアウォール > 詳細設定 > VPN 設定ウ^ f ード 


操作は成功しました。 

!：した内容は、詳細設定メニューの 「VPN ノ《ス設定」 より 
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■ J モートアクセス VPN 


リモートアクセス VPN とは、ネットワークから離れた場所にある端末からネットワーク内の 
Express 5800 /SG 300の間に VPN パスを設定し、暗号化通信を行う方式です。このとき、 
サーバへのアクセス設定を行うことで、指定したサーバへのユーザからのアクセスを受け付 
けることができます。 

リモートアクセス VPN を構築することにより、自宅や出張先からインターネット経由で企業 
内ネットワークへ安全にアクセスすることが可能になります。 

VPN 設定ウイザードで設定したリモートアクセス VPN は、自動鍵交換方式のトランスポート 
モードとなります。 

H-0 • リモートアクセス VPN 環境を構築するには、ユーザ認証が必須となります。そのため、 

VPN 設定前の事前準備として、「かんたん設定」のユーザ認証の利用の設定または詳細 
設定メニューの「認証設定」よりユーザ認証が利用できるように設定しておく必要があり 
ます。「ユーザ認証」については、225ページを参照してください。 

• VPN 通信を行うネットワークの途中にアドレス変換 (NAT/NAPT) を行う機器がある 
と、 VPN 通信は行えません。 

• VPN 接続時に、停電などにより SG 300の電源が OFF になると、相手側端末にセキュ 
リテイアソシエーション (SA) が残るため、その残った SA の有効時間が切れるまでは 
VPN 接続ができなくなります。 


リモートアクセス VPN の設定 

リモートアクセス VPN では、クライアントアドレス（リモートから VPN 通信で内部ネット 
ワークにアクセスする端末の IP アドレス）を任意とする VPN パス（自動鍵交換：トランスポー 
トモード）を1つ設定します。 

複数のサーバのリモートアクセスを許可するには、その VPN パス設定を利用して VPN 設定 
ウィザードから公開するサーバの IP アドレスを指定します。公開するサーバごとに、グルー 
プが作成されます。 

VPN 設定ウイザードを利用した2回目以降の設定は、248ページの「アクセス先サーバが2台 
以上ある場合の設定について」を参照してください。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示されます。 



2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



ファイアウオールメニュー画面 
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3. 詳細設定メニューの 「VPN 設定」がら 
[VPN 設定ウイザード]をクリツクする。 

VPN 設定ウイザードが表示されます。 


フアイアウオール 〉詳細設定 


サイト共通ルール j グルーブルール| 


アドレスグループ 


最終更新日： 2004年09月16日17時34分56秒 

最終更新状態に戻す I ?1」インポート/エクスポート 



詳細設定メニュー画面 


4. 「リモートアクセス VPN」 をクリックする。 


VPN 設定ゥィザード 


ファイアウォール > 詳細設定 > VPN 設定ウイザード 


VPN 機能をどの用途で使用しますか？ 

次へ』 

' し AN 間接続 VPN 

ゲートウ: t イ間の通信を暗号化する、 「VPNM ス（自觔键交換:トンネルモード〉 J の設定 
を行います。 


接嫌元自ネットワーク 




摄親先ネットワーク 





(? リモートアクセス VPN 

出先のネットワークから自ネットワーク内のサーノ《へのアクセスを暗号化する、 「VPN バ 
ス（自助键交換:トランスボートモード)」の設定を行います。必要に応じて、サイト公聞 
ルールやグルーゴルールの追加も行います。 

アクセス元ネットワーク 
(クライアント ■) 




^リモートアクセス VPN 


VPN 設定ウイザード画面 


5. [次へ]をクリックする。 

リモートアクセス VPN 設定画面が表示され、リモートアクセス VPN の設定に進みます。 
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6. リモートアクセス VPN を設定する。 


• 名称 


リモートアクセス VPN を識別する任意 
の文字列を指定します。 

名称は自由に設定することができま 
す。最大で256バイトまでの文字列を 
受け付けますが、二重引用符 (") および 
カンマ(，)を含めることはできません。 


♦利用期間 


リモートアクセス VPN の利用期間を制 
限しない場合は「無制限」をクリックし 
ます。 

期間を制限する場合は、プルダウンメ 
ニューを使って利用期間を指定しま 
す。 


♦備考 

リモートアクセス VPN に関する備考を 
入力します。最大で2048バイトまでの 
任意の文字列を受け付けますが、二重 
引用符 (“) およびカンマ(，)を含めること 
はできません。入力は任意です。 



モートアクセス VPN (出先—内部のサーバ） 


172 . 16 . 1.85 


VPN 設定ウイザード 

VPN 設定ウイザード 

名称と利用期間を設定してください* 



アクセス元ネットワー t 
(クライアント儺） 


li ii£n ^ t 20 m j ? f j*Wi 

、各称 モートアク12ス VPN 〈出先—内部のサーバ〉 

-無制限 



|チェック| 

名称には、既に設定した名称と同様の名称は設定することができません。 

「この VPN パスを利用するユーザのグループ」として、ここで設定した名称で新しくグループと 
グループルールが追加されます。グループへのユーザ登録は手順14で行うことができます。 

7. [次へ]をクリックする。 

プリシェアードシークレツト設定画面が表示され、プリシェアードシークレツトの設定に進みま 
す。 


8. プリシェアードシークレットを設定す 

る。 

籲プリシェアードシークレット 

あらがじめ、接続先と決めておいたプ 
リシ ェアー ド シークレッ トを設定しま 
す。プリ シェアー ド シークレッ トは 
VPN を使った暗号通信を実現するため 
に必要なパスワードのようなもので 
す。 


I チェック I 

プリ シェアード シークレツ トは必ず英 
数字を組み合わせた8文字以上500文字 
以内の文字列を設定してください。 


VPN 設定ウイザード 


[ヘルブ] 


/《スワード(ブリシエアードシークレット）を設定してさい。 

热 J 次へ| 


7クセ#思トト Sr ク 



246 


















































9. [次へ]をクリックする。 


アクセス先サーバ設定画面が表示され、リモート端末から VPN 接続でアクセスするサーバの設定 
に進みます。 


10 . 


リモートからアクセスを許可するサーバ 
を設定する。 

春アクセス先サーバの内部 IP アドレス 

リモートからアクセスを許可するサー 
パの内部 IP アドレスを設定します。 

參アドレス変換の設定 

アドレス変換時のポート番号を設定し 
ます。外部ネットワークに公開する 
ポート番号と対応する内部ポート番号 
を設定します。 TCP と UDP をラジオボ 
タンで指定することができます。 




公開する ip ァドレスやポート番号の変 
換 について は、「サーバ公開ルール」の 
設定内容に影響します。 

設定の途中で設定済みのサーバ公開 
ルールを確認したい場合は、画面下の 
説明文中の「既存の設定を確認する」を 
クリックしてください。 


1 1. [次へ]をクリックする。 

設定内容確認画面が表示されます。 

12. 設定内容を確認し、問題がなければ[設 
定]をクリックする。設定が誤っている場 
合は、[戻る]で設定画面に戻ることがで 
きるので、設定をやりなおす。[キャンセ 
ル]をクリックすると、これまでの設定内 
容が破棄される。 



Jm 「 udp 変換 I 


UDP 変換前 (SG 外部)のボート番号 pOOOO - 変換後(アクセス先サーバー〉のボート番号 




|のボート番号戸的 00 — 変換後〈アクセス先サーバ—）のボ~卜番号が^ 

VPN 設定ウイザード画面 


VPN 設定ウィザード 


> VPN 設定ウイザード 


下記のように#してよろしいですか? 


Express 5800 /SG アクセス先サ_バ_ 

外 gPlP アドレス アドレス変換 (NAT> を行う 

^?.16.1 .85 172.16 .1.85:30000 -» 

10.10 .10.2:25 (TCP) 



VPN 設定ウィザード画面 

13. [設定]をクリックし、内容が正常に設定された場合は、結果画面が表示される。 

ここで設定した内容は、「グループルール」、「サーバ公開ルール」、「グループ設定」、 「 VPN パス 
設定」に影響します。また、各設定画面から変更することができます。 
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14. リモートがらアクセスするユーザを設定 
する場合は、[引き続きユーザ設定を行 
ラ]をクリックする。 


VPN 設定ゥィザード 


ファイアウォール > 詳細設定 > VPN 設定ウイザード 


リモートアクセス VPN の設定を完了しました。 


[ヘルブ] 


ユーザ設定画面が表示されます。ユーザ 
設定については、211ページの「ユーザ設 
定」を参照してください。 


VPN0 利用を許可するグルーブを VPW U 名と同じ名前で作成 U ました。上記グル 
ーブに VPN の利用を許可するユーザを登録することで、作成したリモートアクセス 
VPN0 設一- - - 


:を利用することができます。 

した内容はそれぞれ詳細設定メニューの 「グルーブルール」、「サーバ 
.よリ確認および変更を行うことがて 


詳細設定メニューに戻る 


引き続きユーザ設定を 


引き続きユーザ設定を行う v^l 

ーザ設定を行う I 


VPN 設定ウイザード画面 


アクセス先サーバが2台以上ある場合の設定について 

複数のサーバへのリモートアクセスを許可する場合は、 VPN 設定ウイザードから同じよラに 
設定します。ただし、2回目以降は、 VPN パス（自動鍵交換：トランスポートモード)の設定 
は完了しているため、プリシェアードシークレットは設定する必要がありません。「名称」、 
「利用期間」、「アクセス先サーバの IP アドレス」、および 「NAT 設定」のみを設定します。プリ 
シェアードシークレットを変更すると、その他のリモートアクセス VPN のプリシェアード 
シークレットも変更されますので注意してください。 

なお、「名称」はすでに設定した名称と同じ名称は設定できません。同じものがある場合は、 
設定確認時に変更画面が表示されます。自動的に、設定した名称の末尾に「其の2」、「其の3」 
と番号が付与されますが、任意の文字列に変更することもできます。 

ここでは、2回目以降のリモートアクセス VPN の設定について説明します。 VPN 設定ウイ 
ザードの表示以降から説明します。 

1 . VPN 設定ウイザードで「リモートアクセス VPN」 をクリックする。 

2 . [次へ]をクリックする。 

VPN パス設定画面が表示され、 VPN パスの設定に進みます。 

3. VPN パスを設定する。 

♦名称 
♦利用期間 
* 備考 

4. [次へ]をクリックする。 

プリシェアードシークレツト設定画面が表示され、プリシェアードシークレツトの設定に進みま 
す。 
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5. すでに設定している VPN パス（自動鍵交 
換：トランスポートモード）と同様のプリ 
シェアードシークレツトを利用する場合 
は、入力せずに[次へ]をクリックする。 
変更する場合は、プリシェアードシーク 
レットを入力する。 

アクセス先サーバ設定画面が表示され、 

リモート端末から VPN 接続でアクセスす 
るサーバの設定に進みます。 



英数字を組み合わせて、8文字以上500文字以内で設定してください。 


確 IS のため再度入力してください。 


r 


VPN 設定ウイザード画面 


6. リモートからアクセスを許可するサーバを設定する。 
籲アクセス先サーバの内部 IP アドレス 

籲アドレス変換の設定 

7. [次へ]をクリックする。 

設定内容確認画面が表示されます。 


8. 設定内容を確認し、問題がなければ[設 
定]をクリックする。 

「名称」がすでに設定した「名称」と重なつ 
ている場合は、名称変更画面が表示され 
ます。自動的に設定した名称の末尾に「其 
の2」、「其の3」と番号が付与されます 
が、任意の文字列に変更することもでき 
ます。 


VPN 設定ウイザード 


ファイアウォール > 詳細設定 > VPN 設定ウイザード 


同じ名前のグルーブが既に存在して L ゝます。 
名称を変更して沈执、〇 


一 IM] 


モートアクセス VPN (出先^]部のサーバ) 

[0 モートアクセス VPN (出先一^部のサーメ。其の1 




9. 手順5でプリシェアードシークレットを入力した場合は、 VPN パスの上書き確認画面が表示され 

公 〇 

プリシェアードシークレットを上書きしてもよければ[はい]をクリックする。 

プリシェアードシークレツトを上書きしない場合は、[パスワードを変更しないで設定]をクリツ 
クする。 


10. 設定完了画面が表示される。リモートからアクセスするユーザを設定する場合は、[引き続きユー 
ザ設定を行う]をクリックする。 

ユーザ設定画面が表示されます。ユーザ設定については、211ページの「ユーザ設定」を参照して 
ください。 
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VPN パス設定 

VPN パス設定では、 VPN 設定ウイザードで設定した VPN パスを変更したり、新たな VPN パ 
スを追力□したりすることができます。 

VPN パス設定では、以下の項目を設定/管理します。 

• VPN パスの確認 

• VPN パスの追!]□(共有鍵交換） 

• VPN パスの追加（自動鍵交換：トンネルモード） 

• VPN パスの追力□(自動鍵交換：トランスポートモード） 

• VPN パスの削除 

• VPN パスの更新 


VPN パス確認 

すでに設定した VPN パスは VPN 情報一覧画面から確認することができます。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 


2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 




状態表示| ログ•アラート表示 I 



ファイアウォールメニュー画面 


3. 詳細設定メニューの 「 VPN 設定」から 
[VP N ノ \°ス設 $：] をクリックする。 


詳細設定 


ファイアウォール > 詳細酿 [ヘルプ! 


VPN パス設定画面が表示されます。表示 
される内容は以下の通りです。 
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詳細設定メニュー画面 





































項目 

説明 

パス番号 

VPN パスの番号です。 

VPN パス 

接続先 IP アドレス 

VPN 通信を行ラ相手の IP アドレスです。 

自 IP アドレス 

Express58 〇〇 /SG3 〇〇の外部ネットワークに接続したイ 
ンタフエースに割り当てられた IP アドレスです。 

許可パス 

接続組み合わせ 

VPN 通信を行ラ相手先と自ネットワークの組み合わせで 
す。 

自動鍵交換方式のトランスポートモードでは表示されま 
せん。 

モード 

VPN 通信を行ラモードです。 

鍵交換方式 

鍵の交換方式です。 


VPN / 《ス設定 


ファイアウオール > 詳細設定 > VPW くス設定 


[ヘルプ] 


一覧の末尾に VPN バス(共有鍵交換)を 追如 

一覧の末尾に VPN ノ《ス(自動鏹交換:トンネルモード)を 追加 

一覧の末尾に VPN バス(自動鍵交換:トランスポートモード)を追加 
選択した VPW 彳スを 則除 

全2件中1〜2件目を表示 


VPNM ス 

接続先 IP アドレス (" 自 IP アドレス 


許- •■，.ハ 

接続組み合わせ 


1頁に表示するレコード po 件 

反映| 

の20件|次の20件-* 


モード 鍵交換方式 


\r 11192.168 .80.3 fi 92.168 .30.93 [ ^ランスポート自動鍵交換 

T 2 192.168.100.1 192.168 .30.93 192.168.7.0/24:192.168.10.0/24 ドノネル ；自動鍵交換 

r 全逞折/解除 —W の20件|1|次の20件— 

VPN パス設定画面 




「1頁に表示するレコード」の入カフィールドに件数を入力し、[反映]をクリックすると、その指 
定した件数で VPN パスを一 覧表示します。 
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VPN 7 (スの追加(共有鍵交換) 


必要に応じて VPN パスを追加することができます。ここでは、共有鍵交換方式を利用した 
VPN パスの設定について説明します。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリツクする。 

ファイアウォ _ ルメニュー画面が表示さ 
れます。 



2. ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 




ファイアウォールメニュー画面 


3. 詳細設定メニューの 「 VPN 設定」がら 
[VP N ノ \°ス設 $：] をクリックする。 


詳細設定 


ファイアウオール > 詳細酿 [ヘルプ] 


VPN パス設定画面が表示されます。 



詳細設定メニュー画面 
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4. 「一覧の末尾に VPN パス（共有鍵交換）を 
『追加』」をクリックする。 

VPN パス(共有鍵交換)画面が表示されま 
す。 


一覧の末尾に VPN ノ彳ス(共有鍵交換)を 


ファイアウォール > 詳細設定 > VPNy U 設定 


一覧の末尾に VPW 《ス(共有鍵交換)を 
一覧の末尾に VPN ノ《ス(自動鍵交換：トンネルモード)； 
一覧の末尾に VPN ノ《ス(自動鍵交換：トランスボートモート> 
選択 U こ VPN バスを 
全2件中1〜2件目を表示 


《ス設定,/ 

追加 

モード)を 追加 

H 一トモード)を追加1頁に表示するレコ'-ド F 0 

則除丨 件反映| 

卜 w の20件I次の20件-» 


I |VPN バス |許可バス 

1接続先 ip アドレス1自 ip アドレス1接続組み合わせ 

モード_ |鍵交換方式| 

[r 11210.1 .2.3 |1 92.168.20.92 121 0.1.2.0/24:1 92.168 .20.0/24 

fr 壬意 192.168.20.92| 

|ドノネル 自動鍵交換 

ゆスポート - 「自動鍵交換 


一 w の20件|1|次の20件— 


VPN パス設定画面 

以降の各項目の設定手順では、 VPN 通信の概念を理解しやすくするために以下の図を用いて説明 
します。 


接統元自ネットワーク 
Ql 92.168 .1.0/ 24 


接 


❺ 


パスワ-ド 
... (プリシェア-トシ-クレット） 



ExpressSBOO/SG 

imm :自 FW) 


© 10 . 1 . 


撩磅先 vpi \ 祛狀 
〇1 0.1.1.2 


接铳先ネットワーク 

192.168 .2.0/24 


CP 

~r r r 


5. VPN パスを設定する。 

參接続先 IP アドレス 

VPN パスをはる接続先 VPN 機器が外 
部に公開している IP アドレスを入力 
します (VPN パスの概念図の①)。 

• 自 IP アドレス 

VPN パスをはる接続先から参照する 
ことができる、 Express 5800/ 
SG 300の外部ネットワークにつなげ 
たインタフェースの IP アドレスを入 
力します （ VPN パスの概念図の②)。 

• パス名 

VPN パスを識別する任意の文字列を 
指定します。 VPN パス名は自由に設 
定することができます。最大で256 
バイトまでの文字列を受け付けます 
が、二重引用符 ( n ) 及びカンマ(，)を含 
めることはできません。 


VPN バス(共有遵交換） 


フアイアウオール > 詳細設定 > WW 《ス脑 > VPN ノ《ス(共補交換） 


l _ 
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6. 許可パスを入力する。 


VPN バス(共有遵交換） 


VPN パスをはる接続先アドレス （VPN パ 
スの概念図の③）と自分側のアドレス 
(VPN パスの概念図の④）との組みを入力 
します。「接続先 IP アドレス/ネットマス 
ク:自分側 IP アドレス/ネットマスク」のよ 
うに、ネットマスクを含めた形で指定し 
ます。 

•:一 [120 

ip アドレスだけを指定したい場合には 

ネットマスクを32としてくださし、0 


フアイアウオール > 詳細酿 > VPNV 《ス設定 > VPN ノ《ス(共有鍵交換） 


1 MdggifeK [掠^ 

VPN バス 

擬獅ァドレスドレス 

〜一...~ 接続先見ファイアウォー J レの IP アドレス 

自 1 P アトレス |i'72.V 65.185- 

卜可バス 

掊続先アドレス：自分側アドレス (aaa.aaa.aaa.Ma/aa:xxxxxxxxxxxx/»() 
||?92.1 ▲ 犯.0/24:1 72.165.1.0/24 

SPI 値 

T ~ M ~ (256〜 4095) 

:先 VP_ 器に設定す!値と同じ値を指定しで..ださい 


R 認証ヘッダ ( AH ) 



許可バス 


接続先アドレス：自分 f 則アドレス ( aaa . aaa . aaa . aaa / aa : xxx . xxx . xxx . xxx / xx ) 
1192.168 .20.0/24:172.165.1.0/24 


VPN パス（共有鍵交換)画面 


7. SPI 値を入力する。 

SPI とはトンネルを一意に特定する ID で 
す。 VPN による暗号化通信を行う接続 
先との間で取り決めた SPI 値を入力しま 
す。値の有効範囲は、256から4095ま 
でです。 


VPN バス(共有遵交換） 


フアイアウオール > 詳細設定 > VPN ノ U 設定 > VPN ノ くス洪有鍵交換） 




棱続先 ip アドレス 
自 ip アドレス 


許可バス 
SPI 値 


認証ヘッダ ( AH ) 


接続先 VPN 機器の IP アドレス 
1192.168 .20.1 

接続先から見た自ファイアウォールの IP アドレス^ 
1172.165 .1.85 ' 

| f トンネルモード（共有親） 

接続先アドレス:自分側アドレス ( aa aaa a aaa . aaa / aa:: 
II 92.168.20.0/24:172.165.1.0/24 


ノ \ッシュアルゴリズ2 



/自ファイアウォールの鏟を使用する 

『遠の出力] 「新規に作成する 
格続先 VPN 機器から取得した键を使用する_ 


R 暗号ペイロード ( ESP ) 


自フ 7 イアウォールの链を使用する 

建の出力] F 新規に作成する 
接続先 VP N 機器から取得した親を使用する 

」链仍の確 is J 


SPI 値 


|887 G56 〜 4095) 

※掊皖先 VP N 棟器に設定する値と同じ値を指定してください 


VPN パス（共有鍵交換)画面 
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VPN パス（共有鍵交換)画面 

•:一圆 

AH は IP ヘッダを含めたパケットの改ざん検知を行います。 AH はハッシュアルゴリズムを使って 
送信データと VPN パス認証鍵から認証データを生成し、その認証データを送信データに付与し 
て一緒に送ります。通信相手はデータを受信したとき、同様にハッシュアルゴリズムを使って 
データと認証鍵から認証データを生成し、送られてきた認証データと比較します。通信の途中 
で第三者がパケットの内容を改ざんした場合は、送信された認証データと受信者の生成した認 
証データが異なるため、改ざんの有無を検出することができます。 

• ハッシュアルゴリズム 

HMAC-SHA1 と HMAC-MD5 がら選択します。あらかじめ通信相手とアルゴリズムを決めて 
おき、通信相手と同様のものを設定します。 

• VPN パス認証鍵 

VPN パスの認証に使用する共有鍵を指定します (VPN パスの概念図の⑤)。 

共有鍵は自ファイアウォールと接続先 VPN 機器で同一の鍵を共有する必要があるため、どち 
らか一方のノー ドで鍵を生成し、生成した鍵データをもう一方のノー ドに転送して利用しま 
す。 

一自ファイアウォールの鍵を使用する 

Express5800/SG3 ◦〇で作成した鍵を使用するときに選択し、[鍵の出力]をクリックして 
鍵データをファイルに出力します。鍵を新規に作る、または作り直す場合は、「新規に作 
成する」チェックボックスにチェックをしてから[鍵の出力]をクリックしてください。そ 
のファイルを接続先 VPN 機器に渡して、 VPN パス認証鍵として設定してください。 

一接続先 VPN 機器から取得した鍵を使用する 

接続先の VPN 機器で作成した鍵を使用するときに選択します。テキストボックスに、接 
続先 VPN 機器から出力した鍵ファイル名を指定します。ファイル名を直接入力するか、 
[参照]をクリックしてファイルを選択してください。 

鍵ファイル名を指定した後、[鍵 D の確認]をクリックすると、鍵 ID の確認画面を別ウィン 
ドウで表示します。 

読み込む鍵ファイルは、ファイアウオールが動作している端末ではなく、 Management 
Console を表示している管理クライアント上に保存してください。 


8. 認証ヘッダ (AH) を利用する場合、チェッ 
クボックスにチェックし、ハッシュアル 
ゴリズムと VPN パス認証鍵の設定を行 
う。 


VPN バス(共有鍵交換） 


フ7イアウオール > 詳細設定 > VPN ノ くス設定 > VPN ノ U 洪有鍵交換） 


棱続先 ip アドレス 

VPN バス 


自 IP アドレス 
I ノ U 名 


接続先 VPN 機器の IP アドレス 
；|1 92.168.20.1 

|语运先がら勇>こ自ファイアウオールの P アドレス 
65.1.85 


許可バス 
SPI 値 


卜る値と同じ値を指定してください_ 


ハッシュアルゴリズム 



• HMAC - SHA 1 
へ HMAC - MD 5 

• 自ファイアウォールの S 


接続先 VPN 猓| 

| 夕 AES 


オールの链を使用する 

P 新規に作成する 
I 梁器から取得した键を使用1 


『化アルゴリズム r 3 DES 


[11 の出力 ] P 
- 接続先 VPN 機器から取得した鏟を使用する 

|键 ID の確認」 


共有粳交換方式による VPN 格続 


認証ヘッダ (AH) 


ハッシュアルゴリズム 

^ HMAC-SHA1 

C HMAC-MD5 

VPN ； 彳ス認証鍵 

自ファイア 0 ォールの阕を使用する 

[IIの出力] r 新規に作成する 

^掊皖先 VPN 棟器か 6 取待した阕を使用する 

键 ID の確 
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9. 暗号化ペイ□—ド （ESP) を利用する場 
合、チェックボックスにチェックし、暗 
号化アルゴリズムと VPN パス暗号鍵の設 
定を行ラ。 


VPN バス(共有鍵交換） 


■一 I22Q 


ESP では VPN パス暗号鍵と暗号化アル 
ゴリズムを使ってパケットを暗号化す 
ることで、通信の機密性を保証しま 
す0 


， オール〉詳細設定〉 腳 U 設定〉 VPN/ U (共有鍵交換） 


— ァドレス 1 

接続先 VPN 機器の IP アドレス 

1192.168 .20.1 

VPN バス 自 IP アドレス 1 

y 《ス名 

接続先から見た自ファイアウォールの IP アドレス 

1172.165 .1.85 

[F ンネルモード（共有•链〉 

卜可バス 

接続先アドレス：自分側アドレス (aaa.aaa.aaa.aaa/aa:)oxxxx»(xxxx/xx> 
『92.1 68.20.0/24:1 72.165.1,^/24 

SPI 値 

P? ¢256〜4095〉 

※掊続先 VP N 機器に設定する値と同じ値を指定してください 

ハツシュアルゴリズム 

夕 HMAC-SHA1 

r HMAC-MD5 

認証ヘッダ (AH) 

VPN ノ《ス認証鍵 

_ _1 

^自ファイアウォールの链を使用する 

HI の出力] F7 新規に作成する 
r 接続先 VPN 機器から取得した链を使用する 

II 粳 ID の確 is | 

暗号化ァルゴリズム 

AES 

「 3DES 

「 DES 

k 暗号ペイロード (ESP) M 

くス暗号鍵 

^自フ W アウォールの键を使用する 

臨1の出力]新規に作成する 
r 接続先 VPN 機器から取得した链を使用する 

|键 ID の確 S | 

-// 

共有键交換方式による VPN 格続 

d 

M # 通用」 




f * AES 


暗号化アルゴリズム 

r 3 DES 

F 暗号ペイロード ( ESP ) 


r DES 

VPN ； 彳ス暗号鍵 

^ 自ファイア0ォールの阕を使用する 

[II の出力] F 新規に作成する 

<" 掊皖先 vpn 棟器か6取待した阕を使用する 
| # |键 ID の確3 s 


VPN パス（共有鍵交換)画面 


• 暗号化アルゴリズム 

暗号化アルゴリズムを、 AES、3DES、DES がら選択します。あらかじめ通信相手とアルゴリ 
ズムを決めておき、通信相手と同様のものを設定します。 

參 VPN パス暗号鍵 

暗号通信に使用する共有鍵を指定します (VPN パスの概念図の⑤)。 

自ファイアウォールと接続先 VPN 機器と で 1 つの 鍵を共有する必要があります。したがって、 
どちらが 一方で 鍵を生成したらもう 一方に同一の 鍵 データを 渡し、渡された方は鍵 データを 
読み込みます。 

一自ファイアウォールの鍵を使用する 

Express5800/SG3 ◦◦で作成した鍵を使用するときに選択し、[鍵の出力]をクリックして 
暗号鍵をファイルに出力します。鍵を新規に作る、または作り直す場合は、「新規に作成 
する」チェックボックスにチェックをしてから[鍵の出力]をクリックしてください。その 
ファイルを接続先 VPN 機器に渡して、 VPN パス暗号鍵として設定してください。 

一接続先 VPN 機器から取得した鍵を使用する 

接続先の VPN 機器で作成した鍵を使用するときに選択します。入カフィールドに、接続 
先 VPN 機器から出力した鍵ファイル名を指定します。ファイル名を直接入力するか、[参 
照]をクリックしてファイルを選択してください。 

鍵ファイル名を指定した後、[鍵 ID の確認]をクリックすると、鍵 D の確認画面を別ウィン 
ドウに表示します。 

I チェック I 

読み込む鍵ファイルは、ファイアウォールが動作している端末ではなく、 Management 
Console を表示している管理クライアント上に保存してください。 
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10. VPN パスに関する備考を入力する。 

最大で2048バイトまでの任意の文字列を受け付けますが、二重引用符 (") およびカンマ(，)を含める 
ことはできません。入力は任意です。 


1. [適用]をクリックする。 

VPN パス(共有鍵交換)適用結果画面が表 
示されます。 


登録に失敗した場合には、エラー内容 
を示す画面を表示します。 


12. [VPN パス設定に戻る]をクリックする。 

追加した VPN パスが反映された VPN パス 
設定画面が表示されます。 


VPN バス(共有變交換）適用結果 


定〉 VPI^ > VPW 《ス(共有！^換)適用結果 


下記の vpn ^ 《ス(共有鍵交換)を適用しました。 


|許可バス 
SPI 値 

■認証ヘッダ (AH) 

■B 音号ベイロード (ESP) 


接続先 IP アドレス 
自 IP アドレス 
ド ス名 

棱続組み合わせ 


1192.168 .20.1 _ 

1172 . 165 1.85 
_|トンネルモード(共有鍵) 
" 1192 . 168 . 20 . 0 / 24 : 172 . 165 . 1 . 


トッシュアルゴリズ"ム |HMAC-SHA1 

認証鍵 新規作成した自ファイアウォールの鍵 

暗号化アルゴリズム |AES " 

共有_ |新規作成した自フ7イアウォー几志 1T 

i 共有锤交換方式による VPN 接続 


7L 


VPN パス設定に戻る 


VPN パス（共有鍵交換)適用結果画面 
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VPN パスの追加（自動鍵交換：トンネルモード） 

必要に応じて VPN パスを追加することができます。ここでは、トンネルモードにおける自動 
鍵交換方式を利用した VPN パスの設定について説明します。 


1 . Management Console トツプ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリツクする。 

ファイアウォ _ ルメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリツクする。 

詳細設定メニュー画面が表示されます。 



I 装 柔^^^^^^^^^^^ 

状態表示丨 ログ•アラート表示 | 



ファイアウォールメニュー画面 


3. 詳細設定メニューの 「VPN 設定」から 
[VPN パス設定]をクリックする。 

VPN パス設定画面が表示されます。 


詳細設定 


ファイアウオール > 詳細酿 [ヘルブ] 



詳細設定メニュー画面 
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4. 「一覧の末尾に VPN パス（自動鍵交換：卜 
ンネルモード）を『追加』」をクリックす 
る。 

VPN パス（自動鍵交換：トンネルモード） 
画面が表示されます。 



[r 11210 . i.^H 

任胃 


1192.168 .20.92 1210.1 .2.0/24:1 92.168 .20.0/24 トンネル 自動鍵交換 

192.16 8.2 0.92 + W ンス示ート自動議交換 

110.20.30.5 [ i 92.168.2 a 92 _ |210.2 a 3 a 0/24:192.168.20.0/24 p ^ ネル 共有鍵交換 

苗の20件丨1|汝の20件— 


VPN パス設定画面 

以降の各項目の設定手順では、 VPN 通信の概念を理解しやすくするために以下の図を用いて説明 
します。 


接練元自ネットワーク 
192.168 .1.0/24 


❻ 


パスワ -I 

• ^ 



ア-ドシ-クレット） 


ExpressSBOO/SG 
{ li 続元：自 FW ) 


10 . 1 . 


1 0.1.1.2 


接铳先ネットワーク 
192.168 .2. 0/24 




5. VPN パスを設定する。 

參接続先 IP アドレス 

VPN パスをはる接続先 VPN 機器が外 
部に公開している IP アドレスを入力 
します （VPN パスの概念図の①)。 

• 自 IP アドレス 

VPN パスをはる接続先から参照する 
ことができる、 Express 5800/ 
SG 3 〇〇の外部ネットワークにつな 
げたインタフェースの IP アドレスを 
プルダウンメニューから選択します 
(VPN パスの概念図の②)。 

參パス名 

VPN パスを識別する任意の文字列を 
指定します。 VPN パス名は自由に設 
定することができます。最大で256 
バイトまでの文字列を受け付けます 
が、二重引用符 ( H ) 及びカンマ(，)を含 
めることはできません。 


接続先 IP アドレス11210.20 .30.1 
自 P アドレス 


1172.16 .1.85 ▼! 



pl 号化/認証 (AES128&MD5 
一効期間^ b ) '||36〇〇 (1200—28800) 

'• ! 《スワードけリシエアードシークレット） 


;数字を組み合わせて、8: 


※再入力（確認用） 


r RSAill 键 id の確器] 

① 自ファイアウォールの RS A 公键を取待する 
關の出力] 

② 接続先 VPN 機器から取得した鏟ファイルを設定する 


| I _ 

AH :「使用する(認証方式は MD5) 
ESP： 

暗号アルゴリズム 28 ii 
認証アルゴリズム [HMAC MD5 3 
鍵の有効期間(秒) p 8800 (1： 


mmt/mi 


ォブション 
備考 


_ 1200〜86400〉_ 

PFS(Perfect horward Secrecy) の有効 
RIPSec で鍵更新を行う 
卩適用時に有効化する 


適用| 

VPN パス（自動鍵交換：トンネルモード)画面 
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6. 許可パスを入力する。 


VPN バス（自動變交換:ドノネルモード） 


VPN パスをはる接続先アドレス （ VPN パ 
スの概念図の③）と自分側のアドレス 
( VPN パスの概念図の④）との組みを一行 
に一組ずつ入力します。「接続先 IP アドレ 
ス/ネットマスク:自分側 IP アドレス/ネッ 
トマスク」のように、ネットマスクを含め 
た形で指定します。 


ファイアりオール > 詳細設定 > VPNy 《ス設定 > VPN； 《ス(自動鍵交換:ドノネルモー K) 


[ヘルブ 


•:一 [120 

IP アドレスだけを指定したい場合には 
ネットマスクを32としてくださし、0 


許可/《ス接続組み合わせ 

接続先アドレス：自分側アドレス Caaa.aaa.aaa.aaa/aa：xxx.xxx.xxx.xxx/xx〉 
接続組み合わせは、8つまで設定できます。 

210.20 .30.0/24:172.16.1.0/24 


d 


VPN パス（自動鍵交換：トンネルモード)画面 



7 . Phase 1の「暗号化/認証」、「有効期間」を 
設定する。 

■一 I 22 Q 

自動鍵交換方式では、最初に IKE を使っ 
て通信相手を認証し、暗号化アルゴリ 
ズ厶と暗号鍵を決定します。事前にパ 
スワードまたは RSA 鍵を共有している 
ことが条件になります。 

IKE では、まずハッシュアルゴリズムと 
パスワード（または RSA 鍵）を使って通 
信相手双方の認証を行います。認証完 
了後、暗号通信を利用して鍵の元とな 
る乱数データと暗号化アルゴリズ厶を 
通知しあい、実際の通信で使用する共 
通鍵(秘密鍵)を生成します。 

• 暗号化/認証 

IKE の暗号化に利用する暗号化アルゴ 
リズムと認証に利用するハッシュア 
ルゴリズムを設定します。 

• 有効期間 

認証完了後の有効期間（秒）を設定し 
ます。12◦〇〜28800秒まで設定す 
ることができます。 


暗号化/認証 

AES128 & MD5 ▼ 


有効期間(秒） 

AES256 & SHA1 ^ 
AES256 

-23300) 


嘞轉料響稱兩圓 

AES128 & SHA1 

リシェアー| 


AES128 

〇 ncc P r,c 



JU ヒ b a m Uu 

3DES & SHA1 

3DES 

棟器と同じ 
み合わせ 1 

共有秘密鏈 

DES & MD5 

の確| 


DES & S HA1 _ 

DES ▼ 

1 -r£.mn~\ L-U- 

? オールの F 
-1—1 "I 



踏号化/認証 
|有効期間(秒) 


※再入力（確認用〉 


' RSAljif 键 ID の確 is | 

7ウォールの RSA 公聞键を取得する 


@接続先 vp n 棵器から取得した m： 


键ファイルを設5 


暗哿匕/認証 


AH :「使用する(認証方式は K/D5) 

ESP： 

_ B 音号アルゴリズム IAES128 二] 

_認証アルゴリズム 「HMACMD5 二 J _ 

鍵の有効期間(秒) |F 88 °0 (1200^86400) 

「17 PFS(Perfect horward Secrecy) の有効 
ォブション 17 IPSec で鍵更新を行う 

卩適用時に有効化する一 


備考 


VPN パス（自動鍵交換：トンネルモード)画面 
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8 . Phase1 の「共有秘密鍵」を設定する。 

IKE での認証方法としてパスワードを利用 
するか、 RSA 鍵を利用するかを選択しま 
す。 （VPN パスの概念図の⑤） 

• パスワード（プリシェアードシーク 
レット） 

事前に相手先と合意を取ったパス 
ワード(プリシェアードシークレット） 
を用いて認証を行う場合は、「パス 
ワード」を選択しテキストボックスに 
パスワードを入力します。 
パスワードは、接続先 VPN 機器と同 
じ接続パスワードとし、英数字を組 
み合わせて、8文字から5◦◦文字まで 
で入力します。確認のため再入力し 
てください。 


VPN バス(自動鍵交換ドノネルモード） 


フ7イアウオール > 詳細設定 > VPN ノ《ス設定 > VPNV 《ス(自動鍵交換トンネルモー K) 


VPN^ ス | 

接続先 ip アドレス |P 

自 IP アドレス f 

バス名 | 

II 

許可パ:^接続組み合ゎ廿|: 

Phase 1 

暗号化/認証 「 

有効期間(秒 ） p 

共有秘密鏹 

Phase 2 

/ 

暗号ィ t / 認証 旧 

鍵の有効期間(秒 ) P 

トション 


10.0/24:172.16.1.0/24 


売先 VPN 棚器と同じ I 
次宇を組み合わせて、 


，接続パスワ'-ド 
し8文宇以上5003 S 


※再入力〈確 IS 用） 


f アウオールの RS A 公聞键を取得する 


②接続先 VP N 棵器から取得した j 



バスワードけリシ j： アードシークレッド 


※接続先 VPN 機器と同じ接続バスワード 
(英数字を組み合わせて、8文字以上500文字以内） 


共有秘密鍵 


※再入力（確認用) 


r rsaI 建[键 id の確目 s | 

①自ファイアウォ ー ルの RS A 公閉键を取得する 

[1 键の出力] 

©接続先 VP N 機器から取得した键ファイルを設定する 


r 




VPN パス（自動鍵交換：トンネルモード)画面 


RSA 鍵 

RSA 鍵を利用する場合は、 「RSA 鍵」を選択し Exp「ess5800/SG3 ◦◦が出力する鍵データと通 
信相手の機器が公開している鍵データの2つを設定します。 

— 自ファイアウォールの RSA 公開鍵を取得する 

「鍵の出力」をクリックし Express5800/SG300 のインスIル時に作成した鍵をファイ 
ルに出力します。そのファイルを接続先 VPN 機器に渡して、 RSA 認証鍵として設定して 
ください。 

-接続先 VPN 機器から取得した鍵を設定する 

接続先の VPN 機器の RSA 鍵を設定します。テキストボックスに、接続先 VPN 機器から出 
力した鍵ファイル名を指定します。ファイル名を直接入力するか、[参照]をクリックして 
ファイルを選択してください。 

鍵ファイル名を指定した後、[鍵 ID の確認]をクリックすると、鍵 ID の確認画面を別ウィン 
ドウで表示します。 




読み込む鍵ファイルは、ファイアウォールが動作している端末ではなく 
Console を表示している管理クライアント上に保存してください。 


Management 


接続条件によっては、設定したアルゴリズ厶が使用されず IKE のネゴシエーションで自動選択さ 
れたアルゴリズ厶が使用されることがあります。 


ファイアゥォ—ル機能の設定方法 
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9. Phase 2 を設定する。 


VPN バス（自動鍵交換:トンネルモード） 


• 暗号化/認証 

AH を利用した認証を行う場合は、 
チェックボックスにチェックしま 
す。ハッシュアルゴリズムは MD5 が 
適用されます。 

さらに ESP で利用する暗号化アルゴ 
リズムと認証アルゴリズム（ノ Vソシュ 
アルゴリズム）を設定します。 

• 鍵の有効期間 

生成した鍵の有効期間（秒）を設定し 
ます。12◦〇〜864〇〇秒まで設定す 
ることができます。 


ファイアウオール > 詳細設定 > VPN ノ《ス設定 > VPNU 《ス(自動鍵交換:トンネルモード） 



VPN パス（自動鍵交換：トンネルモード)画面 


Phase 2 

暗号化/認証 

AH :厂使用する(認証方式は MD 5) 
ESP ： 

暗号アルゴリズム IAES120 
認証アルゴリズム |HMAC MD5 二 J 

鍵の有効期間(秒) 

128800 ¢1200 〜 8 卿 ^^^^^ 


10. 必要なオプションのチェックボックスをチェックする。 

• PFS (Perfect Forward Secrecy) の有効 

PFS を有効にします。 PFS とは、万一、共有秘密鍵が解読された場合においても、 VPN 通信 
(IPSec) に利用する鍵 (Phase2 で生成)の解読ができないようにする方式です。 

參 IPSec で鍵更新を行う 

IPSec による VPN 通信で利用する鍵は、 Phase2 の項目で指定した有効期間を持ちます。 
「IPSec で鍵更新を行ラ」をチェックした場合、有効期間が切れた際に新たに鍵を生成して更新 
します。この機能により、鍵の有効期間を超えて VPN 通信を継続することが可能になりま 
す。 

• 適用時に有効化する 

「適用時に有効化する」をチェックした場合、設定の適用と同時に VPN の設定を行います。設 
定は行ラものの VPN 通信はまだ利用したくないといラよラな場合は、「適用時に有効化する」 
をチェックせずに設定の適用を行ってください。 


11. VPN パスに関する備考を入力する。 

最大で2048バイトまでの任意の文字列を受け付けますが、二重引用符 (") およびカンマ(，)を含める 
ことはできません。入力は任意です。 

12. [適用]をクリックする。 

VPN パス（自動鍵交換：トンネルモード)適用結果画面が表示されます。 

登録に失敗した場合には、エラー内容を示す画面を表示します。 
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13. [VPN パス設定に戻る]をクリックする。 

追加した VPN パスが反映された VPN パス 
設定画面が表示されます。 


VPN ノ《ス(自動鍵交換ドノネルモード）適用結果 


フ7イアウオール 〉 詳細設定 > VPN ノ U 設定 > VPN ノ《ス(自動鍵交換:ドノネルモート"）適用結果 


下記の VPN ノ《ス(自動鍵交換:ドノネルモード)を適用しました。 




vpn ^ ス [1" ip アドレス 

_ 

可バス接続組み合わせ 

暗荀匕/認証 — 
|有娜月間 
共有秘密鍵 
|暗号化/認証 
鍵の有効顚 




Phase 1 


Phase 2 


オブション 


AES128& MD5 
p 600(秒） 

「《スワード 
ド使用しない 

JESPAES128 & HMAC MD5 
反8800(秒） 

|PFS (Perfect Forward Secrecy) の有効 
IPSec で鍵更新を行ぅ 

東京本社と大陡本狂 M め VPN 



VPN パス（自動鍵交換：トンネルモード)適用結果画面 
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VPN パスの追加（自動鍵交換：トランスポートモード） 

必要に応じて VPN パスを追加することができます。ここでは、トランスポートモードにおけ 
る自動鍵交換方式を利用した VPN パスの設定について説明します。 VPN 設定ウィザードでリ 
モートアクセス VPN を設定した状態で新たな VPN パス（自動鍵交換：トランスポートモード) 
を追加するには、いったん設定済みの VPN パスを削除してから、以下の操作を行ってくださ 
い。 


1 .Management Console トツプ画面の左 
側に表示されるメニューアイコンから 
[ファイアウォール]をクリツクする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



状態表示| ログ•アラート表示 I 



ファイアウォールメニュー画面 


3 . 詳細設定メニューの 「 VPN 設定」から 
[ VPN パス設定]をクリックする。 


詳細設定 


ファイアウオール > 詳細酿 [ヘルブ] 


VPN パス設定画面が表示されます。 



詳細設定メニュー画面 
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4 . 「一覧の末尾に VPN パス（自動鍵交換：卜 
ランスポートモード）を『追加』」をクリツ 
クする。 

VPN パス（自動鍵交換：トランスポート 
モード)画面が表示されます。 



. j 匿|涅藤娜國闘浓斷激1 WMS&SMS 1 

「r J _| 210.1 .2.3 |?92.1 68.20.92 [210.1.2.0/24:192.168.20.0/24 

S ヨ 

P ノネル 

自動鍵交換 

I r 2_ 210.20 .30.5 

192.168 .20.92 |21 0.20.30.0/24:192.168.20.0/24 

1ドノネル1共有鍵交換 

210.60 .70.8 

92.168 .20.92 [210.60.70.0/24:192.168.20.0/24 

ドノネル1 

自動鍵交換 


厂全 iS 択 / ft ? 除 — K の 20 件丨 1 I 次の 20 件-* 


VPN パス設定画面 

以降の各項目の設定手順では、 VPN 通信の概念を理解しやすくするために以下の図を用いて説明 
します。 


アクセス元ネツトフーク 
(クライアント側） 

0 192.168 .2. 0/24 


自ネットワーク 
192.168 .2. 0/24 


Windovs XP 




Express 邪 Dd/SG 
imfm 


® パスヮ-ド 
(ブ _ J シ17— ド■シークレット〉 


©10.1. 


アクセス先サーパー 
1 0.1.1.3 


5 . VPN パスを設定する。 

• 接続先アドレス 

VPN パスをはる接続先 VPN 機器が外 
部に公開している IP アドレス、ある 
いは VPN 機器が存在するネットワー 
クアドレスを、一行に1つのアドレス 
の形式で入力します (VPN パスの概念 
図の①)。 

• 自 IP アドレス 

VPN パスをはる接続先から参照する 
ことができる、 Express 5800/ 
SG 300の外部ネットワークにつなげ 
たインタフェースの IP アドレスをプ 
ルタ'ウンメニューから選択します 
( VPN パスの概念図の②)。 

• パス名 

VPN パスを識別する任意の文字列を 
指定します。 VPN パス名は自由に設 
定することができます。最大で256 
バイトまでの文字列を受け付けます 
が、二重引用符 (") 及びカンマ(，)を含 
めることはできません。 


VPN バス（自動遵交換:トランスボートモード） 


ファイアウォ—ル > 詳細設定 > VPN ノ《ス設定 > VPN ノ《ス洎動鍵交換:トランスポートモード） [ヘルブ] 



接続先 IP アドレス 

128.0.0.0/1 

0.0.0.0/1 

d 

自 IP アドレス 

172.16 .1.85 


VPN パス（自動鍵交換：トランスポートモード)画面 
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6 . Phasel の「暗号化/認証」と「有効期間」を 
設定する。 

自動鍵交換方式では、最初に IKE を使つ 
て通信相手を認証し、暗号化アルゴリ 
ズ厶と暗号鍵を決定します。事前にパ 
スワードまたは RSA 鍵を共有している 
ことが条件になります。 


IKE では、まずハッシュアルゴリズムと 
パスワード（または RSA 鍵）を使って通 
信相手双方の認証を行います。認証完 
了後、暗号通信を利用して鍵の元とな 
る乱数データと暗号化アルゴリズ厶を 
通知しあい、実際の通信で使用する共 
通鍵(秘密鍵)を生成します。 

• 暗号化/認証 

IKE の暗号化に利用する暗号化アルゴ 
リズムと認証に利用するハッシュア 
ルゴリズムを設定します。 

• 有効期間 

認証完了後の有効期間（秒）を設定し 
ます。12◦〇〜28800秒まで設定す 
ることができます。 


暗号化/認証 

AES128 £ MD5 ▼ 


有効期間(秒） 

AES256 & SHA1 ^ 
AES256 — 

-23300) 


AES128 & SHA1 

リシ x ア -I 


AES128 



O Uto & [VI USD 

3DES & SHA1 

3DES 

二同じ掊皖ノ 
つせて、 8 夕 

共有秘密鍵 

DES & MD5 

の確 3 | 


DES & SHA1 — 
DES ▼ 

レの RSA 公 


|||_交換:トランスボートモード） 


Y ス(自動鍵交換:トランスポートモー K) 

[ヘル:^ 



阵効期間(秒） [peoo (1200^28800) 

I ^バスワ'-卜（プリシ：アードシークレット 


※接続先 VP N 機器^同じ接続ノ ' 
(英数字を組み合わせて、8:‘ 


的、♦スワード 
I 文宇以上500文: 


① 自フ P イアウォールの RS A 公聞链を取得する 
HI の出力] 

② 格筏先 VP N 機器か6取得した键ファイルを設: 

— I I 参照I _ 

&H： 「使用する(認証方式は MD5) 

1 暗号アルゴリズム |AES128 

認証アルゴリズム |HMAC MD5 」 

間(秒)_88 1 55~ 


ォブシ3ン 
備考 


_ (1200 〜8640 0) _ 

W PFS(Perfect Forward Secrecy ) の有効 
RIPSec で鍵更新を行う 


通用| 




VPN パス（自動鍵交換：トランスポートモード)画面 


7 . Phasel の「共有秘密鍵」を設定する。 

IKE での認証方法としてパスワードを利用 
するか RSA 鍵を利用するかを選択しま 
す。 （VPN パスの概念図の③） 


VPN バス(自動遵交換:トランスボートモード） 


フアイアウオール > 詳細設定 > VPN ノ U 設定 > VPN 7 U (自動鍵交換:トラ'ノスポートモー K) 


1 

VPN バス 

接 s 先 ip アドレス1 


自 IP アドレス 

/ U 名 |i 

暗号化/認証 「 

有効期間(秒 ） P 

Phase 1 

拥秘密鍵 

Phase 2 

/ 

暗号化/認証 E 

鍵の有効期間(秒 ) P 

ォブシ 3' ノ 

備考 


8.0.0. 0/1 


fj モートアクセス VP N 〈出先—内部のサーバ〉 


peoo (1200 〜2880 0) _ 

. バスワード（ゴリシエアードシークレット〉 


※接続先 VPN 機器と同じ接梡バスワード 
(英数宇を組み合わせて、8文芊以上500文字以内〉 




^ ) 《スワード（プリシ I アードシークレット 〉 Hiisl 


※接続先 VP N 機器と同じ接続バスワード 
(英数字を組み合わせて、8文字以上500文宇以内） 

共有秘密鍵 


※再入力（確器用） 


r Rsm 键 ID の確$ | 


①自ファイアウォールの RS A 公閡键を取得する 

Hi の 出 :^] 


②接続先 VP N 機器か6取得した键ファイルを設定する 


1 ' •照 


VPN パス（自動鍵交換：トランスポートモード)画面 
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パスワード（プリシェアードシークレツト） 

事前に相手先と合意を取ったパスワード(プリシェアードシークレット)を用いて認証を行う場 
合は、「パスワード」を選択しテキストボックスにパスワードを入力します。 

パスワードには必ずアルファべットと数字の両方が含まれている必要があります。どちらが 
一方のみで構成されるパスワードは入力できません。確認のため再入力してください。 

RSA 鍵 

RSA 鍵を利用する場合は、 「RSA 鍵」を選択し Express5800/SG 300が出力する鍵データと通 
信相手の機器が公開している鍵データの2つを設定します。 

一自ファイアウォールの RSA 公開鍵を取得する 

「鍵の出力」をクリックし Express5800/SG3 ◦◦のインストール時に作成した鍵をファイ 
ルに出力します。そのファイルを接続先 VPN 機器に渡して、 RSA 認証鍵として設定して 
ください。 

一接続先 VPN 機器から取得した鍵を設定する 

接続先の VPN 機器の RSA 鍵を設定します。テキストボックスに、接続先 VPN 機器から出 
力した鍵ファイル名を指定します。ファイル名を直接入力するか、[参照]をクリックし 
て、ファイルを選択してください。 

鍵ファイル名を指定した後、[鍵 ID の確認]をクリックすると、鍵 D の確認画面を別ウィン 
ドウで表示します。 


I チェック] 


読み込む鍵ファイルは、ファイアウォールが動作している端末ではなく、 Management 
Console を表示している管理クライアント上に保存してください。 




接続条件によっては、設定したアルゴリズ厶が使用されず IKE のネゴシエーションで自動選択さ 
れたアルゴリズ厶が使用されることがあります。 


8 . Phase2 を設定する。 

• 暗号化/認証 

AH を利用した認証を行う場合は、 
チェックボックスにチェックしま 
す。ハッシュアルゴリズムは MD5 が 
適用されます。 

さらに ESP で利用する暗号化アルゴ 
リズムと認証アルゴリズム（ノ Vソシュ 
アルゴリズム）を設定します。 

• 鍵の有効期間 

生成した鍵の有効期間（秒）を設定し 
ます。12◦◦〜864◦◦秒まで設定す 
ることができます。 


VPN7 《ス（自動鍵交換:トランスボートモード） 


フアイアウオール > 詳細設定 > VPW 《ス雕 > VPN ノ《ス洎動鍵交換:トランスボートモード） 


接続先 ip アドレス 

卜叫 自 IP ァドレス 

ス名 


暗号化/ ■ 
有効期間〈 


K 秒） 


Ip ~ 

タパスワ 


(1200—28800) _ 

シ x アードシークレット〉 


① 自フ7イアウォールの RS A 公聞键を取得する 
臨 I の出力] 

② 接続先 VPN 機器から取得した鏟ファイルを設定する 

| | | 参ら… I 

- Iah :「使用する(認証方式は mS ) 

| E | 号アルゴリズム 

邊Iアルゴリズム 「HMACMD5 i] _ 
鍵の有効期間(秒：^^5~ (1200 〜8640 0) 

■^FS (Perfect Forward Secrecy) の有効 
で鍵更新を行う 



圍 


Phase 2 

暗号化/認証 

ah : r 使用する (i 

暗号アルゴリズム 
認証アルゴリズム 

S 証方式は MD5) 

AES128 

AES256 1 ▼ 

鍵の有効期間(秒) 

128800 ¢1200〜8¢ 

3DES 

ncc 

「 

. , PFGfP バ^-十 For 


me) (T 


VPN パス（自動鍵交換：トランスポートモード)画面 
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9 . 必要なオプシヨンのチェックボックスをチェックする。 

• PFS (Perfect Forward Secrecy) 

PFS を有効にします。 PFS とは、万一、共有秘密鍵が解読された場合においても、 VPN 通信 
(IPSec) に利用する鍵 (Phase2 で生成)の解読ができないようにする方式です。 

• IPSec で鍵更新を行う 

IPSec による VPN 通信で利用する鍵は、 Phase2 の項目で指定した有効期間を持ちます。 
「IPSec で鍵更新を行ラ」をチェックした場合、有効期間が切れた際に新たに鍵を生成して更新 
します。この機能により、鍵の有効期間を超えて VPN 通信を継続することが可能になりま 
す。 

10. VPN パスに関する備考を入力する。 


最大で2048バイトまでの任意の文字列を受け付けますが、二重引用符〇およびカンマ(，)を含める 
ことはできません。入力は任意です。 


11. [適用]をクリックする。 

VPN パス（自動鍵交換：トランスポートモード)適用結果画面が表示されます。 


IチェックI 

登録に失敗した場合には、エラー内容を示す画面を表示します。 


12 . [VPN パス設定に戻る]をクリックする。 

追加した VPN パスが反映された VPN パス 
設定画面が表示されます。 


VPN ノ《ス(自動鍵交換:トラ'ノスボートモード）適用結果 


フアイアウオール > 詳細設定 > vpn ノ U 設定 > vPNy 《ス洎動鍵交換:トランスボートモード 1 )適用結果 


下記の VPN ノ《ス(自動鍵交換:トランスボートモード)を適用しました。 




任意 


接続先 ip ァドレス 
VPN バス自 IP アドレス 172.161.85 

— バ^ —リモート接続 VPN (出先—^部サーバ) 

暗号化/認証 "|AES128 & MD5 

:、一 ■ n ' : 



VPN パス（自動鍵交換：トランスポートモード)適用結果画面 
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VPN パスの削除 


不要になった VPN パスを削除することができます。 


Management Console トツプ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 


3 . 詳細設定メニューの 「VPN 設定」がら 
[VPN パス設定]をクリックする。 

VPN パス設定画面が表示されます。 



状態表示| ログ•アラート表示 




確謬/登録I 


ソフトウ〇：アア、ンブデート J パッ irr ップ•リストア || 

ファイアウォールメニュー画面 


フアイアウオール > 詳細設定 


サイト共通ルール」ヴル'-ゴル^!レ 


流入量制限ルール 


最終更新日： 2004年09月16日17時34分56秒 

最終更新状態に戻す j を弔」_インボート/エクスポート 


7 P •至 巧 ilP 宝 □ックアウト設定 ヴル-ブ P 毛： 
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4 . 削除したい VPN パス番号の横に表示され 
るチェックボックスをチェックし、「選択 
した VPN パスを『削除』」をクリックす 
る0 


VPN パス削除確認画面が表示されます。 

■一 班 

「全選択/解除」のチヱックボックスを 
チェックすると、削除可能な VPN パス 
のすべてを一度に選択できます。逆 
に、「全選択/解除」のチェックボックス 
のチェックを外すと、いったんチェッ 
クボックスにチェックをつけたすベて 
の VPN パスを削除対象から外すことも 
できます。 



vPNy U 

1接続先 ip アドレス1自 ip アドレス1 

許可バス 
接続組み合わせ 

モ-ド 

_交換方式| 

r 1 [192.168.80.3 192.168 .30.93 


トランスポート 

自動鍵交換 

[r 2 [192.168.100.1 1192.168 .30.93 

|T 92.168 .7.0/24:192.168.10.0/24 

[F ンネル 

換 

r 3 192.168.90.90 192.168 .30.93 

fr 4 [T 92.168 .100.100 1192.168 .30.93 

192.168 .80.0/24:1 92.168 .10.0/24 |トンネル 

1192.168.11 0.0/24:192.168.20.0/241 トンネル — 

共有鍵交換 
自動鍵交 S 

P 5192.168.200.200 1192.168 .30.93 


1トランスボート1 

自動鍵交換 


r 全 S 折/解除 —15 の20件丨1丨次の20件-» 


VPN パス設定画面 


5 . [実行]をクリックする。 

• 背景が黄色で表示された VPN パス 
は有効となっている V P N パスで 
す。 

• 背景が赤色で表示された VP N パス 
はグループルールで使用中です。 
まずグループルールの方から VPN 
パスを解除し、グループルールを 
適用してから、再度 VPN パス削除 
を行う必要があります。 

• [中止]をクリックすると、削除され 
ずに VPN 情報一覧画面に戻りま 
す0 


VPN バス削除確認 


フ7イアウオール〉詳細設定〉 VPN/ 《ス設定〉 VPN； U 削除確認 [ヘルブ] 


下記の—《スを削除 U ます 。 
※背县が黄色で表示された vpn ) 彳スは有効 t なブ a 〗 ます。 



1210.60 .70.8 192.168 .20.92" 1210.60 .70.0/24:1 92.168 .20.0/24 [P ノネル自動鍵交換 



VPN パス削除確認画面 


VPN パス削除結果画面が表示されます。 
6 . [VPN パス設定に戻る]をクリックする。 

I チェック I 

背景が黄色で表示された VPN パスは削 
除に失敗した VPN パスです。 

VPN パスが削除され、削除が反映した 
VPN パス設定画面が表示されます。 

p-Oi^ 

現在有効な VPN パスを削除すると、そ 
の VPN パスを使用して行っている通信 
も切断されます。 


VPN バス削除結果 


ファイアウオール〉詳細設定〉 VPN ノ U 設定〉 VPN バス削除結果 [ヘルプ] 


下記の ■ 《スを削除しました。 
※背杲が黄色で表示された VPNH スの則除は、失敗しています。 



1210.60 .70.8 192.168 .20.92 1210.60 .70.0/24:1 92.168 .20.0/24 トンネル自動鏈交換 
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VPN パスの更新 


一度設定した VPN パスの設定内容を変更することができます。 


Management Console トツプ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



ソフトウ I /アッブ丁ート 


3 . 詳細設定メニューの 「VPN 設定」から 
[VPN パス設定]をクリックする。 

VPN パス設定画面が表示されます。 


ファイアウォールメニュー画面 


フアイアウオール 〉詳細設定 


サイト共通ルール I ヴルーゴルール」サ'-ノ 


アドレスグループ J サービス J 

最終更新日： 2004年09月16日17時34分56秒 

最終更新状態に戻す^ ^ - - 」 インボート/エクスポート 


ユーザ設定| 認証設定| ロックアウト設定」ヴルーゴ設定 
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4 . 変更したい VPN パスの番号をクリックす 
る 0 


VPN ノ《ス設定 


変更したい VPN パスのモード、鍵交換方 
式にしたがった VPN パス更新画面が表示 
されます。 


一覧の末尾に VFW U (共有鍵交換)を 
一覧の末尾に VPN ノ《ス(自動鍵交換:トンネルモード)を 
一覧の末尾に VPNy 彳ス(自動鍵交換:トランスボートモード) 
選択した VPN ノ U を 



1頁に表示するレコード 


pO 件 

反■夹 J 


全3件中1〜3件目を表示 


I A の20件- 



5 . 表示される各項目を設定する。 

それぞれの設定内容は追加設定と同様で 
す。 

6 . [適用]をクリックする。 

VPN パス適用結果画面が表示されます。 

登録に失敗した場合には、エラー内容 
を示す画面を表示します。 


VPN バス（自動鍵交換:トランスポートモード） 


ファぐ PO ォール > 詳細設定 〉 VPW マス設定 > VPW U (自動鍵交換:トランスポートモード） 



VPN パス更新画面 


7 . [VPN パス設定に戻る]をクリックする。 

変更した VPN パスが反映された VPN パス 
設定画面が表示されます。 

p-Oi^ 

現在有効な VPN パスを更新すると、そ 
の VPN パスを使用して行っている通信 
も切断されることがあります。 


VPN バス(共有遵交換）適用結果 


フアイアウオール > 詳細設定 > VPN ノ《ス設定 > VPN ノ U 洪有鍵交換）適用結果 


下記の VPNV 《ス(共有鍵交換)を適用しました。 


VPNM ♦ス 

可バス 
SPI 値 

■認証ヘッダ (AH) 


接続先 IP つ 


左 IP アドレス 

自 IP アドレス 

|7"《ス名 


^10.20.30.5 

1192.168 .20.92 

|特定ネットワーク"^ネットワーク 
|2 T 0：20.30. 0/24: 192.188720.0/24 1 


|A ッシュアルゴリズム [HMAC-MD5 
認証鍵 接結先 VPN 機^から取得した鍵 

. 暗号化アルゴリズム f^ES 
共有鍵 自ファイアウォールの鍵 




丁 


VPN パス設定に戻る 


VPN パス適用結果画面 
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VPN パラメータの設定 


Express 5800 / SG 30 〇で同時に利用できる VPN トンネル数、トランスポート数を設定する 
ことができます。 


Management Console トツプ画面の左 
側に表示されるメニューアイコンから 
[ファイアウォール]をクリツクする。 

フアイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「ルール設 
定」か6 [詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 



ソフトウェアアップデート | バックアツゴ■リストア 

ファイアウォールメニュー画面 


3 . 詳細設定メニューの 「VPN 設定」から 
[VPN パラメータ設定]をクリックする。 

VPN パラメータ設定画面が表示されま 
す0 


ファイアりオール > 詳細設定 


サイト共通ルール」 プループルール 


アドレスグループ」サービス 


最終更新日： 2004年09月16日17時34分56秒 

最終更新状態に戻す I H J インポート/エクスポート 


ユーザ設定」認 II 設定」 J □ックアウト設定」ヴルーゴ設定 



詳細設定メニュー画面 
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4. 利用できる VPN トンネルの数、トランス 
ポートの数をそれぞれテキストボックス 
に入力する。 

• 値は〇〜65535まで設定すること 
ができます。0を設定すると無制限 
になります。 


VPN/ 《ラメータ設定 


※各入カエリアに0 を入力すると無制限になります。 

利用できる VPN トンネルの数を!^ に制限します。 
利用できるトランスポートの数を^ _ に制限します。 


適用」 


フォームのデータを元!こ戻す 


VPN パラメータ 設定画面 


• ユーザ□グインにより有効となつ 
たトランスポートモードのセッ 
ションは、セッションの有効期間 
終了後、鍵の有効期間が切れるま 
でが、トランスポート数の計算対 
象となります。 


5. [適用]をクリックする。 


[フォ ー厶のデータを元に戻す]をクリックすると、前回設定した値に戻ります。 


VPN パラメータ設定完了画面が表示されます。 





をクリックすると VPN の接続が一時切断されます。 


6 . [VPN パラメータ設定に戻る]をクリック 
する。 

VPN パラメータ設定画面が表示されま 
す。 



VPN パラメータ 設定に戻る 


VPN パラメータ設定完了画面 
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ロク • アラー ト設定 

Express 5800 / SG 300が出力するログファイル、アラートファイルに関連する各種パラメータを設定する 
ことができます。 

□グ • アラート設定では以下の項目を設定することができます。 

ログ • アラートファイル設定 . Express 5800 / SG 300が出力する□グファイル、 

アラートファイルのパラメータを設定します。 

ログ.アラ—トファイルタ'ウン□—ド/アップ□—ド . ログ • アラ—トファイルを管理クライアントに夕' 

ウン□ー ドしたり、夕'ウン□ー ドしたファイルを 
Exp 「 ess 5800/ SG 3 〇〇にアップ□—ドします。 

アラートアクション設定 . アラート発生時のアクションを設定します。 


ログ•アラートファイル設定 


Express 5800 / SG 300が出力するログファイル、アラートファイルの収集時間や出力内容な 
どの各種ノヽ°ラメータを設定することができます。 

1 .Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 


2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 


3. 詳細設定メニューの「ログ•アラート設 
定」から[ログ • アラートファイル設定]を 
クリックする。 

ログ•アラートファイル設定画面が表示 
されます。 





状態表示 ロヴ•アラート表示 


ファイアウォールメニュー画面 


ファイアウオール 〉詳細設定 


サイト共通ルール | グループル-ル | サーバ公閉ルール | 流入量制限ルール | 

アドレスク"ループ I サービス J 


最終更新日： 2004年09月16日17時34分56秒 

最終更新状脚こ R す | 厂-ニーン T] 」 インポ'-卜/ェク 


」ゾ P 亍 n ン—厂 y 亍 へ” 亍 


VPN 設定ウイザード J VPN バス設定」^ VPN バラメータ設定 


ロヴ•アラート方イル設定 


人 


ロヴ■アラートファイル設定 


ファイアゥォ—ル機能の設定方法 


詳細設定メニュー画面 
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4. ログ•アラートファイル設定画面に表示 
される各項目を設定する。 


ログ•アラートファイル設定 


ファイアウォール 〉 詳細設定 > ログ■アラートフ7イル設定 



□グ • アラートファイル設定画面 



ローテーション 

サイズ 

1つのファイルの最大サイズを4096 KB(4MB) か 
665536 KB(64MB) の範囲で指定します。 

通常ログファイルは1日単位でローテーションを 
行いますが、ログファイルサイズが指定サイズを 
超えた場合には、1日単位のローテーションとは 
別に口ーテーションを行います。 

設定 

ログ保存期間 

ファイルを残す日数を指定します。1日から2〇〇〇 
日までの範囲で指定します。 

なお、ログを保存しているパーティションの残量 
が少なくなった場合には、下記の残量確保の設定 
により、古いログファイルから削除されます。 
この場合、指定した保存期間に達する前に削除さ 
れます。 


パーテイション 
残量確保 

ログを出力するシステムのパーティションに確保 
する空き容量を指定します。パーティション容量 
が指定値以下になると、古いログがら順に指定残 
量が確保できるまで削除します。 

32768 KB(32MB) がら1048576 KB(1 GB) までの 
範囲で指定します。 


ログ参照 

チェックすると、ログを参照したときに参照情報 
をログとして記録します。 


5. [適用]をクリックする。 

[フォ ー厶のデータを元に戻す]をクリックすると、適用前の設定値に戻ります。 

6 . 別ウィンドウで更新確認ダイアログメッセージが表示されるので、[〇 K] をクリックする。 
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ログ • アラートファイルダウンロード/アツプロード 


□グ • アラートファイルを管理クライアントにダウン□ードしたり、夕'ウンロードしたファ 
イルを Exp 「 ess 5800/ SG 300 にアツプロードすることができます。 


1 . Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 




状態表示|ログ•アラート表示 


L1 


確謬/登録 I 


ソフトウェアアップデート j パッ开ップ•リストア| 

ファイアウォールメニュー画面 


3 . 詳細設定メニューの「ログ•アラート設 
定」から[ログ • アラートファイル設定]を 
クリツクする。 

ログ•アラー ト ファイル 設定画面が表示 
されます。 


フアイアウオール 〉詳細設定 


サイト共通ルール ヴルーブルール サーバ公閉ルール’ 流.ス量糾阳|レ-.|レ 

アドレスグループ」サービス^I 


最終更新日： 2004年09月16日17時34分56秒 

最終更新状態に戻す | | インボート/ェク 


ュ ー ザ設定」認証設定□ックアウト設定 グループ設定」 


VPN 設定ウィザード I VPNM ス設定| VPN バラメータ設定 


人 


ロヴ■アラートフアイル設定 


詳細設定メニュー画面 


ファイアゥォ—ル機能の設定方法 
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4. ログ•アラートファイルダウンロード/ 
アップロードメニューから実行する操作 
を選択する。 


ログ•アラートフアイル設定 


ファイアウォール > ロブラートフマ-1ル設定 


1 训 

「ロイーションサイズ 

「6384 KB 

ログ保存期間 

N 日間 

) トティション残量確保 

165536 KB 

ログ参照 

厂記録する 

通用丨 フォームのデータを元!こ戻す | 


p ? ダウンロード年 P 月！^厂日へ 

/|i55T 年 P 月 lie - B 

トァッブロ-ド| 

参照…」 

|广アツブロードファイルの削除 


実行] 


□グ • アラートファイル設定画面 



ダウン□ー ド 

日付指定でログ • アラートファイルをコンソール 
端末上にダウンロードします。 

ダウン□ー ド/ 
アップ□ー ド 

アップ□ー ド 

ログファイルを指定して Express58 〇〇 /SG3 〇〇に 
アップロードします。アップ□ー ドされたファイ 
ルはログ保存期間を過ぎても残されます。またパ 
ーティシヨン残量確保時でも削除対象となりませ 
ん。なお、アップロードにより保存されるファイ 
ルは1ファイルのみです。新しいファイルをアッ 
プロードすると保存されているファイルは削除さ 
れます。アップロードしたファイルは「ログ•ア 
ラート表示」がら確認できます。「ログ’アラー 
卜表示」については、283ページを参照してくだ 
さい。 


アップ□ー ド 
ファイルの削除 

アップ□ー ドされているファイルを削除します。 


5. [実行]をクリックする。 

指定した操作が実行されます。 

癱夕、、ウン□ー ド 

ファイルのダウン□ー ド画面が表示さ 
れるので[保存]をクリックして、保存 
場所を指定します。 

參アップロード 

[参照]をクリックしてファイルを指定 
してがら[実行]をクリックします。確 
認画面が表示されるので[〇 K] をクリツ 
クします。 


籲アップ□ー ドファイルの削除 


ファイアウォール > - ロブ’丁ラートフマ"1ル設定 


1 

口'-テーシヨンサイズ 

「6384 KB 

ログ保存期間 

N 日間 

/トティション残量確保 

165536 KB 

ログ参照 

r 記録する 

適用 フォームのデータを元に戻す 


|タダウンロード年月175 T 日〜年^ - 月！^ - 日 
— 


r ■ァッブロード| 
r アツブロードファイルの削除 


.実! 1J 


□グ • アラートファイル設定画面 


別ウィンドウで削除確認のダイアログ 
メッセージが表示されるので[〇 K] をク 
リックします。別ウィンドウで完了確 
認のダイアログメッセージが表示され 
るので[〇 K] をクリックします。 
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ン設定 


アラート出力時に行うアクションの設定を行います。 

1 . Management Console トツプ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「ルール設 
定」から[詳細設定]をクリックする。 

詳細設定メニュー画面が表示されます。 




状態表示| ログ•アラート表示 


ーソフトウ0：アアップデート j 


3 . 詳細設定メニューの「ログ•アラート設 
定」から[アラートアクション設定]をク 
リックする。 

アラートアクション設定画面が表示され 
ます。 


ファイアウォールメニュー画面 


ファイアウォール 〉詳細設定 


サイト共通レール j グループルール | サーバ公聞ルール」 流入量制 p 艮ルール 

アドレスヴルーゴ I サービス | 


E 終更新日: 2 
:戻す J 


— iSil 設定 J ロックアウト設定」グループ設定」 


VPN 設定ウイザード J VPN パス設定」 VPN バラメータ設定 


ロヴ•アラート方イル設定 


人 


ロヴ■アラートフアイル設定 


詳細設定メニュー画面 


ファイアゥォ—ル機能の設定方法 
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4. アラートアクション設定画面に表示される各項目を設定する。 


項目 

説明 

通知方法 

メール送付 

アラート発生をメールにて通知します。通知するメール 
アドレスを3つまで登録できます。「送信元アドレス」に 
は、メールの送信元を指定できます。 

SYSLOG 出力 

アラート発生を SYSLOG で出力します。出力するファシ 
リティとレベルを設定します。 

コマンド実行 

アラート発生時にコマンドを実行します。実行するコマ 
ンドを登録します。 

通知間隔 

通知間隔を6◦秒がら864◦◦秒までの範囲で指定します。 

メッセージ 

同一出力の抑制 

チェックすると、同様のアラートが「通知間隔」で指定 
した間に発生した時に、アクションの実行を抑制すると 
ともに、メール通知、もしくは syslog の出力で同様のア 
ラートが連続した回数のみ出力されても、最初のア 
ラートを一度だけ出力するようになります。 

アドバイザリ 
の出力（メー 
ルのみ） 

チェックすると、アラートについての対処方法を含んだ 
メッセージを送ります。ただし、この機能は、「メール 
送付」による通知でのみ有効です。 

通知イペント 

イベントごとに行うアクションのチェックボックスを 
チェックすることで設定します。メール1はメール送付の 
「アドレス1」、メール2は「アドレス2」にメールを送 
信することを意味しています。 


アラー トアクション設定 


フ7イアウォール > 詳細設定 > アラートアケンョン設定 [ヘルブ] 



アラートアクシヨン設定画面 


[通知イベント]にある[自動防御]は、 [SYN-SCAN 検出]と [PING-SWEEP 検出]イベントについて 
選択できるオプションです。このオプションを有効にすると、 [SYN-SCAN 検出]、または 
[PING-SWEEP 検出]イベントを検出した際、 Express 5800 /SG300 は自動的に送信元との通信を 
一時的に遮断します。 
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5. [更新]をクリックする。 


• [フォ ー厶のデータを元に戻す]をクリックすると、適用前の設定値に戻ります。 

• メールア ドレス部分には、必ず有効な メールア ドレスを指定してください。 

メールの送信時にはアドレスのチェックは行わないため、不正なアドレスが指定された場 
合、メールはそのまま送信され、エラーになる場合があります。 

6. 更新結果ダイアログメッセージが表示されるので[〇 K] をクリックする。 

アラートアクシヨンが設定されます。 


ファイアゥォ—ル機能の設定方法 
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情報表示 

Express 5800 / SG 300 の情報を表示することができます。 
情報表示では以下の項目を表示することができます。 


状態表示 . Express 5800 / SG 300 の状態を表示することが 

できます。 

ログ • アラートの表示 . Exp 「 ess 5800/ SG 300 の出力するログおよびア 

ラート情報を表示することができます。 


状態表示 


Express 5800 / SG 300 が正常に起動中であるか、あるいは異常状態であるかを表示すること 
ができます。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「情報表示」 
から[状態表示]をクリックする。 

状態表示画面が表示されます。以下のよ 
ラな状態が表示されます。 

• 現在、正常動作中 

Experess5800/SG 300はファイア 
ウォール装置として正常に稼動中で 
す。 

• 現在、停止中 

ファイアウォールは停止しています。 

• 現在、障害発生中 

何らかの原因によりファイアウォー 
ルに障害が発生しており、一部機能 
が停止しています。 

次ページの「□グ • アラー ト表示」を 
参照して エラー が出ていないが確認 
してください。 

なお、状態の右側に表示される以下 
のボタンをクリックすることで、 
Experess 5800 /SG 300を起動、再 
起動、停止することができます。 



ファイアウォールメニュー画面 


状態表示 


ファイアウォール > ■表示 


[ヘルブ] 



停止する1 

|祝土、 it •吊勸1ド〒1- 

再起肋する| 


状態表示画面 


• 現在、現用中 

二重化構成時、運用系の機器として正常に稼働中です。 
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現在、待機中 

二重化構成時、待機系の機器としてホットスタンバイしています。 


































• 停止する 

Experess5800/SG3 ◦〇が停止中以外の場合にクリックすると停止します。 
• 再起動する 

クリックすると Experess58 〇〇 /SG300 を再起動します。 

• 起動する 

Experess58 〇〇 /SG3 〇〇の停止時にクリックすると起動します。 


ログ • アラー ト表示 


Express 5800 / SG 300が出力するログ情報およびアラート情報を表示/出力することができ 
ます。以下のよラな表示/出力をすることができます。 

• ログ表示 

• CSV 出力 

• 簡易集計表示 
• 外部統計用 CSV 出力 


ログ表示 

Express 5800 / SG 300が出力するログ情報およびアラート情報を表示することができます。 

1 . Management Console トップ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「情報表示」 

がら[ログ • アラート表示]をクリックす 
る。 

ログ • アラート表示画面が表示されま 
す。 



ファイアゥォ—ル機能の設定方法 
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3. 表示するログのカテゴリを選択する。 

• 通信ログ（フィルタ） 

フィルタリング機能によるパケット 
の通過、拒否、破棄のログを表示し 
ます。表示される通信は、サイト共 
通ルール、グループルールで、ログ 
を記録すると設定したもののみで 
す。 

• 通信ログ ( VPN) 

VPN パスを利用した通信のログを表 
爪し汞す。 

• 認証ログ 

ユーザ認証のログを表示します。 


R 通信ログ(フィルタ）广通信ログ (VPN) 「認証ログ r 運用ログ 
カテゴリ 「攻擎 アラー ト r システム アラー ト 


ZziZ2^rik> ログ■アラ4 




— 一… . 「通信口く 

Iカテゴリ 广攻擎アラート广システムアラ、 

二日 r 昨日， 

蜀始:年「 

、終了： 12004 
i 新「秒 


? (VPN) r 認証ログ广連用ログ 
一卜 


<5■本日 r 昨日 「一昨日 

開始:■年月日! - 時分 I~秒 
〜終了： 年厂月 i^b 時厂分厂.厂秒 

广最新「 


I出力伯 1 敢 f" 100 件二 J(「 ログ表示 Jrcsv 出力」を逞折した堆合の上限数になります〉 


ロヴ表示 CSV 出力 簡易集計表示 外部統計用 CSV 出力 


ログ_アラート表示画面 


參運用ログ 

Express5800/SG3 ◦◦の起動や停止など運用情報のログを表示します。 

• 攻撃 アラー ト 

Express58 〇〇 /SG3 〇〇が攻撃を検出したときに出力するアラート情報です。 
• システム アラー ト 

Express58 〇 0/SG3 ◦◦の運用上のアラート情報です。 


4. 期間を選択する。 

「本日」、「昨日」、「一昨日」をクリックするとそれぞれ指定した一日分のログを表示します。 

それ以外の日や数日に渡ってログを取得する場合は、「開始」のラジオボタンを選択し、開始から 
終了までの年月日時分秒を指定します。 

「最新」をクリックしてテキストボックスに秒を設定すると、指定した直近の秒までのログを表示 
します。 


5. 表示するログの上限となる「出力件数」をプルダウンメニューから選択する。 


6 . さらに詳しく条件を設定する場合はタイ 
トルバーの右側にある[詳細メニュー開 
く]をクリックする。 

詳細メニューが表示されます。 

• 特に詳細条件を指定しない場合は 
手順8に進みます。 

• [詳細メニュー閉じる]をクリックす 
ると詳細メニューが閉じます。 



沒通信ログ(フイルタ） f 通信ログ (VPN) r 認証ログ r 運用ログ 
カテゴリ r 攻擊アラート r システムアラート 


■-本日 r 昨 R .—一昨日 

• 開始： 2004年9月10日0時0分0 ノ〇秒 

^ 〜終了：^ - 年厂月!^ - 日厂時厂分！^ .厂秒 

最新 r - 秒 

出力件数 [ T 00 件」<「ログ表示 Jrcsv 出力」を s 折 U た堳合の上限数にな y ます〉 

表示項目選択 

p B 寺刻 p ホスト厂ログレペル1^ メッセージ 
r インタフェース r 物理アドレス 

表示項目絞り込み(複数時は各穿 
r r 時 I 分 r 秒以降 
|厂ロクレペル ： i 一股二] 

「送 ft 元 ip アドレス ：I 
厂送信元ボート番号：丨 
厂メッセ'-ジ：丨バケットの拒否•扯 

表示対象 

| ^自ファィァゥオ-ル出力 

ロヴ表 S I 


I表示項目選択 

寺刻 [7 ホスト r ログレベル 17 メッセージ 
「インタフェース r 物理アドレス I?ブロトコル 「TCP フラグ r icmp 種別 


ログ.アラート表示(詳細メニュー)画面 
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7. ログの表示条件の詳細な設定を行ラ。 


カテゴリ 

項目 

説明 



時刻 

チェックすると時刻が表示されます。 



ホスト 

チェックするとホスト名が表示されます。 



メッセージ 

チェックするとメッセージが表示されます。 


表示項目 

インタ 

フェース 

チェックすると通信のインタフェースが表示され 
ます。 


選択 

物理アドレス 

チェックするとインタフェースの物理アドレスが 
表示されます。 



プロトコル 

チェックすると通信種別が表示されます。 



TCP フラグ 

TCP 通信の場合、チェックするとフラグの状態が 
表示されます。 

通信ログ 
(フイルタ） 


ICMP 種別 

ICMP 通信の場合、チェックすると通信種別が表 
示されます。 


時刻 

表示する時刻を「以降」「以前」で指定します。 



プロトコル 

表示するプロトコルをプルダウンメニューがら選 
択します。 



送信元 IP 
アドレス 

表示する送信元 IP アドレスを指定します。 


表示項目 
絞り込み 

送信元 
ポート番号 

表示する送信元ポート番号をプルダウンメニュー 
から選択します。 



宛先 IP 

アドレス 

表示する宛先 IP アドレスを指定します。 



宛先 

ポート番号 

表示する宛先ポート番号を指定します。 



メッセージ 

チェックしてメッセージの種類を選択します。 



時刻 

チェックすると時刻が表示されます。 


表示項目 

ホスト 

チェックするとホスト名が表示されます。 

通信ログ 
( VPN 通信） 
運用ログ 

選択 

□グレベル 

チェックすると□グレペルが表示されます。 


メッセージ 

チェックするとメッセージが表示されます。 

認証ログ 

表示項目 
絞り込み 

時刻 

表示する時刻を「以降」「以前」で指定します。 


□グレベル 

表示する□グレベルをプルダウンメニューから指 
正します。 


表示項目 
選択 

時刻 

チェックすると時刻が表示されます。 

攻撃 
アラート 

ホスト 

チェックするとホスト名が表示されます。 

メッセージ 

チェックするとメッセージが表示されます。 


表示項目 
絞り込み 

時刻 

表示する時刻を「以降」「以前」で指定します。 


表示項目 
選択 

時刻 

チェックすると時刻が表示されます。 

システム 
アラート 

ホスト 

チェックするとホスト名が表示されます。 

メッセージ 

チェックするとメッセージが表示されます。 


表示項目 
絞り込み 

時刻 

表示する時刻を「以降」「以前」で指定します。 

すべて 

表示対象 

自ファイア 
ウォール出力 

自ファイアウォール （ Exp 「 ess 58 〇〇 / SG 3 〇〇）が 
出力したファイルを表示します。 

アップロード 
ファイル 

Express 58 〇〇 / SG 3 〇〇にアップロードしたファイ 
ルを表示します。 
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8 . [ログ表示]をクリックする。 

指定した条件のログ情報が別ウィンドウで表示されます。 


• 「キーワードサーチ」のテキストボックスにキーワードを入力し[検索]をクリックすると、検 
索した条件のログのみを表示します。検索した条件に当てはまらないログは一覧に表示され 
ません。また、2つ以上の条件検索はすることができません。 

• 表中のヘッダ（背景緑色の部分）をクリックすると、その列でソートすることができます。 

• キーワードサーチやソートの対象となるのは、そのとき画面に表示されているもののみです。 

期間の指定で「最新」を選択した場合は、才一トリフレッシュ機能が利用できます。「オートリフ 
レッシュ」のチェックボックスにチェックすると、5秒ごとに自動的にログを再取得し、表示を更 
新します。ただし、この場合は、キーワードサーチとソートを行うことはできません。 


9 . [このウィンドウを閉じる]をクリックす 
る 0 

□ グ情報表示画面が閉じます。 




表示条件：通信ログ(フィルタ） 

2004年00月10日〇〇0#〇〇^〇〇.〇〇〇^ — 2004年09月17日 00B 寺 005^00.000^' 

絞込条件：なし 

表示情報： 8995件中1 0Of 牛表示（取得: 2C04 年00月16日 20B 寺07分26秒） 


S f 

57526192.168 .9.92 18022 TCP 



CSV 出力 


□グ情報表示画面 


Express 5800 / SG 300 が出力するログ情報を CSV ファイルに出力することができます。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「情報表示」 
から[ログ • アラート表示]をクリックす 
る。 


ログ • アラート表示画面が表示されま 
す。 
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ファイアウォールメニュー画面 
































































































カテゴリ 


f 1 ■通信ログ(フィルタ） r 通信ログ (VPN) 广認証ログ r ■連用ログ 
r 攻擎アラート r システムアラート 


フ7イアウオール 〉ログ■アラート表示 


m 


ログ_アラート表示画面 


3. CSV ファイルに出力するログのカテゴリ 
を選択する。 

• 通信ログ（フィルタ） 

フィルタリング機能によるパケット 
の通過、拒否、破棄のログを CSV 
ファイルに出力します。 CSV ファイ 
ルに出力される通信は、サイト共通 
ルー ル、グループルールで、ログを 
記録すると設定したもののみです。 

• 通信ログ ( VPN) 

VPN パスを利用した通信のログを 
CSV ファイルに出力します。 

• 認証ログ 

ユーザ認証のログを CSV ファイルに出力します。 

• 運用ログ 

Experess5800/SG3 ◦◦の起動や停止など運用情報のログを CSV ファイルに出力します。 

• 攻撃 アラー ト 

Express5800/SG3 ◦〇が攻撃を検出したときに出力するアラート情報です。 

• システムアラート 

Express 5800 /SG3 ◦◦の運用上のアラート情報です。 

4. 期間を選択する。 

「本日」、「昨日」、「一昨日」をクリックするとそれぞれ指定した一日分のログを CSV ファイルに出 
力します。 

それ以外の日や数日に渡ってログを出力する場合は、「開始」のラジオボタンを選択し、開始から 
終了までの年月日時分秒を指定します。 

「最新」をクリックしてテキストボックスに秒を設定すると、指定した直近の秒までのログを出力 
します。 

5. 出力するログの上限となる「出力件数」をプルダウンメニューから選択する。 


6. さらに詳しく条件を設定する場合はタイ 
トルバーの右側にある[詳細メニュー開 
く]をクリックする。 

詳細メニューが表示されます。 

♦ 特に詳細条件を指定しない場合は 
手順8に進みます。 

• [詳細メニュー閉じる]をクリックす 
ると詳細メニューが閉じます。 


ログ■アラート表示 


フアイアウオール 〉ログ■アラート表示 




カテゴリ 

夕通信ログ(フィルタ） r ■通信ログ ( VPN ) r ■認証ログ r •運用ログ 
广攻擎アラート广システムアラート 


期間 

1- •本日「昨日•'一昨日 

開始:年 |9^ 月!^ " 日 I 5 - 時 [5 ~ 分 I 5 - 秒 
〜終了：旰〇 4 年 I 9 _月「フ日|〇時厂分|5 . 「秒 

。最新「秒 


出力件数 

「100 件 zJ (「ロゲ表示 Jrcsv 出力」を通折した埸合の上限数になります） 



表示項目選択 

卩時刻17ホスト r ロヴレペル w メッセ'-ジ 

r インタフ： f ス 「物理アドレス卩 rn 卜:XIレ r tcp フデ？ r icmp 種別 


表示項目絞り込み(複数指定時は各芽 
r | 時 I 分「 秒以降 

「ロラレペル ： r 一段 jj 
r 送信元 ip アドレス ： r 
厂送信元ボート番号 ： r 
厂メッセージ： i 1 ケト 

|表示対象 

^自フ w ァウォール出力 

ロヴ表示 CS'v 


の AND になります） 


一「 時厂分厂秒以前 


r □卜 3 レ：| 丁 1 :卜 
厂宛先 ip アドレス：| 


_簡易集計表示外部統計用 CSV 出力 I 


□グ • アラート表示(詳細メニュー)画面 


!註)！フニ：二閉じ€ 


i 表示項目選択 

時刻 17ホスト r ログレペル 17 メッセージ 
「インタフェース r 物理アドレス 17ブロトコル 「 tcp フラグ r icmp 種別 
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7. ログの出力条件の詳細な設定を行ラ。 


カテゴリ 

項目 

説明 

通信ログ 
(フイルタ） 

表示項目 
選択 

時刻 

チェックすると時刻が出力されます。 

ホスト 

チェックするとホスト名が出力されます。 

メッセージ 

チェックするとメッセージが出力されます。 

インタ 

フェース 

チェックすると通信のインタフェースが出力され 
ます。 

物理アドレス 

チェックするとインタフェースの物理アドレスが 
出力されます。 

プロトコル 

チェックすると通信種別が出力されます。 

TCP フラグ 

TCP 通信の場合、チェックするとフラグの状態が 
出力されます。 

ICMP 種別 

ICMP 通信の場合、チェックすると通信種別が出 
力されます。 

表示項目 
絞り込み 

時刻 

表示する時刻を「以降」「以前」で指定します。 

プロトコル 

表示するプロトコルをプルダウンメニューから選 
択します。 

送信元 IP 
アドレス 

表示する送信元 IP アドレスを指定します。 

送信元 
ポート番号 

表示する送信元ポート番号を指定します。 

宛先 IP 

アドレス 

宛先 IP アドレスを指定します。 

宛先 

力、一卜番ぅ* 

宛先ポート番号を指定します。 

メッセージ 

チェックしてメッセージの種類を選択します。 

運用ログ 
認証ログ 
通信ログ 
(VPN 通信） 

表示項目 
選択 

時刻 

チェックすると時刻が出力されます。 

ホスト 

チェックするとホスト名が出力されます。 

□グレベル 

チェックすると□グレベルが出力されます。 

メッセージ 

チェックするとメッセージが出力されます。 

表示項目 
絞り込み 

時刻 

表示する時刻を「以降」「以前」で指定します。 

□グレベル 

表示する□グレベルをプルダウンメニューから指 
正します。 

攻撃 
アラート 

表示項目 
選択 

時刻 

チェックすると時刻が表示されます。 

ホスト 

チェックするとホスト名が表示されます。 

メッセージ 

チェックするとメッセージが表示されます。 

表示項目 
絞り込み 

時刻 

表示する時刻を「以降」「以前」で指定します。 

システム 

アラート 

表示項目 
選択 

時刻 

チェックすると時刻が表示されます。 

ホスト 

チェックするとホスト名が表示されます。 

メッセージ 

チェックするとメッセージが表示されます。 

表示項目 
絞り込み 

時刻 

表示する時刻を「以降」「以前」で指定します。 

すべて 

表爪対冢 

自ファイア 
ウォール出力 

自ファイアウォール (Express58 〇〇 /SG3 〇〇)が出 
力したファイルを CSV 出力します。 

アップ□ー ド 
ファイル 

Express58 〇〇 /SG3 〇〇にアップ□ー ドしたファイ 
ルを CSV 出力します。 


8. [CSV 出力]をクリックする。 

CSV ファイルの保存画面が表示されるので保存先を決定します。 
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簡易集計表示 


Express 5800 / SG 300 が保存している通信ログ情報を簡易集計し、グラフィカルに表示する 
ことができます。 


Management Console トツプ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリックする。 

フアイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニューの「情報表示」 
から[ログ • アラート表示]をクリックす 
含 〇 

ログ • アラート表示画面が表示されま 
す。 



ファイアウォールメニュー画面 


3. 期間を選択する。 

「本日」、「昨日」、「一昨日」をクリックす 
るとそれぞれ指定した一日分のログを表 
爪します0 

それ以外の日や数日に渡ってログを取得 
する場合は、「開始」のラジオボタンを選 
択し、開始から終了までの年月日時分秒 
を指定します。 

「最新」をクリックしてテキストボックス 
に秒を設定すると、指定した直近の秒ま 
でのログを表示します。 




簡易集計表示では、「期間」以外の項目 
は指定できません。 


ログ■アラート表示 


フアイアウオール > ログ•アラート表示 


一詳細メニュー蘭く一 


p 通信□く 
广攻擎アう 


ラート 


广通信ログ* 
'ステムアラー 


r 本日广昨日 r 一昨日 
開始:年^ - 月!^ 

〜終了： 12004ご 

r 最新厂秒 


1〇 時 |Q 分 P 秒 

|〇 分 P . 杪 


I出力件数 F 00 件 *£< 「ログ表示 JrCSV 出力」 

ロラ表示 I CSV 出力 - 


:12004年I 9 月麄日|5"時|〇 分 

K 

ロヴ表示」 「CSV 出力」 J I埸合の上限数になし 
^ I CSV 出力I \'集計表示I 

V 


外部統計用 CSV 出力 


「本日 「昨日 r — 昨日 

^開始年 P 月 FT " 日[5~時|5~分[5~ . |5~秒 
〜終了：！^ 04 年 |9 月 IT ? - 日|〇時|5■分|〇 . |5■秒 
广最新! — ~秒 


ログ_アラート表示画面 


4. [簡易集計表示]をクリックする。 

指定した日付のログ情報の簡易集計が別ウィンドウで表示されます。 
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5. [このウィンドウを閉じる]をクリックす 

"〇) 〇 

簡易集計表示画面が閉じます。 



NAT しないパケット通過 


2008/00/22 00:00:00 
2000/00/22 08:0000 
/22 06:0000 
|/22 00:0000 
2008/09/22 1 2:00:00 
2008/00/22 1 5:00:00 
2008700/2218:0000 
2008 / C 9/22 21:〇〇:〇〇 


NAT パケット通過 



この0インド0を閉じる 


簡易集計表示画面 


1133641 


117902574465149855826368467206 
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外部統計用 CSV 出力 


外部集計ツールで利用する CSV ファイルを出力することができます。 


Management Console トツプ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウォールメニユーの「情報表示」 
から[ログ • アラート表示]をクリックす 
る。 

ログ • アラート表示画面が表示されま 
す。 



」 バックアップ•リストア | 


フアイ ノノ ウォールメニュー画面 


3. 期間を選択する。 

「本日」、「昨日」、「一昨日」をクリックす 
るとそれぞれ指定した一日分のログを 
CSV ファイルに出力します。 

それ以外の日や数日に渡ってログを出力 
する場合は、「開始」のラジオボタンを選 
択し、開始がら終了までの年月日時分秒 
を指定します。 

「最新」をクリックしてテキストボックス 
に秒を設定すると、指定した直近の秒ま 
でのログを出力します。 


ログ■アラート表示 


4. 


I Sliis 

|外部統計用 


ファイアウオール > ログ•アラート表示 


r 本日 「昨日 r 一昨日 

• r ^： 12004年 9 月 1 〇日〇時:〇分:0 .10 秒 
期間 〜終了： 12004年^ - 月 1^- 日時分！^.|5~秒 

^最新「秒 

I 出力件数 |彳〇〇件 J<r ロタ表示 J「CSV 出力」を逞択した場合の上限数になります> 

□夕表示」 CSV 出力 f ffl 易集表示I 


一詳細メニュー蘭く一 


外部統計用 CSV 出力 


□グ • アラート表示画面 


統計用 CSV 出力では、「期間」以外の項目は指定できません。 
[外部統計用 CSV 出力]をクリツクする。 

CSV ファイルの保存画面が表示されるので保存先を決定します。 
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ライセンスの確認と登録 

Exp 「 ess 5800/ SG 300 を利用するには、ライセンスキーの登録を行う必要があります。またサボートキー 
を登録すると、ソフトウェアおよび 0 S のサポートサービスを受けることができます。ライセンスキー、サ 
ポートキーの取得については、1章の「ライセンスキー」および「ソフトウェアサポートサービス」を参照し 
てください。 


ライセンスキー/サポートキーの登録 


Express 5800 / SG 300では、ファイアウォールとして動作させるために必要なライセンス 
キーと、サポートサービスを受けるために必要なサポートキーの2種類のキーによリライセ 
ンスを管理しています。 

Express 5800 / SG 300を利用するには、はじめにライセンスの登録を行う必要があります。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2 . 「ファイアウォール」メニューの「ライセン 
ス」から[確認/登録]をクリックする。 


フアイアウオー 


ファイアウォー J レ 


[ヘルブ] 


ライセンスの確認と登録画面が表示され 
ます。 



ファイアウオールメニュー画面 


3. 「ライセンスキー」のテキストボックスに 
購入先より通知されたライセンスキーを 
入力し、[登録]をクリックする。 


ライセンス確認/登録 


フアイアウオー J し 〉ライセンス確認/登録 


有効なサボートキーは登垂 
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4. [ライセンス登録に戻る]をクリックす 

"〇) 〇 


ライセンス登録結果 


ファイアウォール 〉 ライセンス確認/登録 〉ライセンス登錄結果 


ラィセンスキ'登録しました。 
ライ12ンス登綠に戻る 


人 


ライセンス登錄に戻る 


ライセンス登録完了画面 


5. ソフトウェアサボートサービスを購入し 
ている場合は、「サポートキー」のテキス 
トボックスに購入先より通知されたサ 
ポートキーを入力し、[登録]をクリック 
する。 


ライ ir ノス確認/登録 


フアイアウオール 〉ライセンス確認/登録 


有効なサボートキーは登 f 录されてし > ません 


一座 



6. ライセンスの有効期限を確認し[ライセン 
ス確認/登録に民る]をクリックする。 


サボートキーはライセンスキーを登録 
していないと登録できません。 


ライ 1 T ノス登録結果 


2003年09月11日〜2003年09月12日のサボートキーが有効うなりました。 
ライセンス登綠に戻る J 


人 


ライセンス登錄に戻る 


ライセンス登録完了画面 
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ライセンス設定の確認 


登録したライセンスキー/サポートキーを確認することができます。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンがら[ファ 
イアウォール]をクリツクする。 

「ファイアウォール」メニュー画面が表示 
されます。 


2 . 「ファイアウォール」メニューでライセン 
スの[確認/登録]をクリックする。 

ライセンスの確認と登録画面が表示され 
ます。 



フアイアウオール 


フ7イアウオー J レ 


[ヘルプ！ 



ファイアウォールメニュー画面 


3. [有効なキーの表示]をクリックする。 

ライセンスの確認画面が表示され、有効 
なライセンスキー、およびサポートキー 
が確認できます。 

登録済みのライセンスキーであっても 
有効期限切れや無効のキーは表示され 
ません。 


ライセンス確認/登録 


フアイアウオール > ライ *tr ノス確認/登録 [ヘルブ] 



2003年09月11日〜2003年09月12日 


j ライセンスキー 

I _ 

サボートキー 

I 也 


新たにサポートライセンスを取得する場合は、ライセンスキーの情報が必要となりま 
す。現在有効なキーは、以下のボダノを押すと確認できます。 



ライセンス確認/登録画面 


有効な ライセンスの 表示 


フ7イアウォール > ライセンフ 有勺 M ラ -1 セ:.クの表亍 


SAMPLE-ABCD-EFGH-JKLM-NPQR-STVW-XY01-2345-7689 



D-EFGH-JKLM-NPQR-STVW-XY01-2345-7689 


[ヘルブ] 


有効なライセンス表示画面 
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システムメンテナンス 


管理者は、 Express 5800 / SG 300 のソフトウェアのアップデートや、設定したルール、グループ情報など 
のデータのバックアップ/リストアをすることができます。 



アアップデート 


ソフトウェアサポートサービスを購入している場合は、インターネットを利用してソフ 
ウェアおよび OS を利用可能な最新状態へアップデートすることができます。 


1 . Management Console トップ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 

2 . ファイアウォールメニューの「システムメ 
ンテナンス」から[ソフトウェアアップ 
デート]をクリックする。 

サボートサービスユーザ 認証画面が表示 
されます。 



かんたん殺定」詳細設定 J 


状態表示 ロヴ•アラ'-卜表示 


フトウェアアップデ'^ 

反 


パックアップ•リストア 


ソフト Ox アアップデート 


ファイ尸ウォールメニュー画面 


3. 画面に従い以下の項目を入力する。 

• お客様番号 
• 管理上の分類 
• パスワード 


ソフトウェアアップデート 




お客様番号、管理上の分類番号、パス 
ワードは製品購入時に通知されたもの 
を入力します。お客様番号はライセン 
ス登録を行っていれば自動的に表示さ 
れます。 


ファイアウォール > ソフトウェアアツブデート(サボートサービスユーザ認証） 


お客様番号： 

管理上の分類 (1 〜 3) 
バスワード： 



取得用ブロキシの IP アドレス：1192.168.989 


14800000001 

四 


お客様番号： 

管理上の分類 (1 〜 3): 

バスワード： 

取得用ブロキシの IP アドレス：1192.168 .9.89 
取得用ブロキシのポート番号：18080 


サ ポー ト サービスユーザ認証 画面 
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4. 外部ネットワークへ通信するためにプロキシを利用している場合は、以下の項目についても入力 
する。 

參取得用プロキシの IP アドレス 
• 取得用プロキシのポート番号 

Iプロキシを利用していない場合は空欄のままにしておきます。 



サボー ト サービス ユーザ認証画面を表示しているブラウザも、アップデ ー トパッケージの情報 
を取得するために サボー ト サービスサイ トに直接アクセスを行います。そのため、事前に管理 
クライアントからの外部ネットワークへの HTTP 通信を許可しておく必要があります。フィル 
タリングの設定については129ページの「内部から外部への通信におけるウェブ専用フィルタ 
の設定」を参照してください。 

また、インターネットへ通信するために HTTP プロキシの設定が必要な場合は、ブラウザ自身 
にプロキシの設定を行ってください。 

5. [送信]をクリックする。 

ユーザ認証が行われます。 

■一 

ユーザ認証に失敗した場合には、ユーザ認証画面に戻ります。 

ユーザ認証に成功すると、 

Express5800/SG3 〇〇はあらがじめ定め 
られたサイトと通信し、アップデート情 
報の取得をします。 

配布可能なアップデート情報の一覧を示 
したアップデート画面が表示されます。 

I チェック I 

[認証しない]をクリックした場合は、 Express 5800 /SG 300はあらかじめ定められたサイトと 
通信し、認証を経ていないユーザにも配布可能なアップデート情報を取得し、アップデート情 
報の一覧を示したアップデ ー ト画面を表示します。 

• サイトとの通信に失敗した場合は、エラー画面が表示されます。フィルタリング設定、プロ 
キシの設定を確認してくださし、0 

• アップデートの必要がない場合は、「アップデート対象のソフトウェアはありません」画面 
が表示されます。[戻る]をクリックしてください。 


アッブデートの確認を行って L 、ます。 

アップデート解析画面 
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6 . アップデート画面において、適用したい 
アップデート情報のチェックボックスを 
チェックし、[更新実行]をクリックす 

公 〇 

選択したアップデート情報を 
Express58 〇〇 /SG 300に適用します。 

アップデート情報の内容によっては、 
適用後すぐにシステムの再起動を必要 
とするものがあります。適用後すぐに 
システムの再起動が必要な場合は[更新 
実行]をクリックすると、再起動実行の 
確認画面が表示されます。再起動して 
も問題がなければ [0 K ] をクリックして 
ください。 



アップデート画面 


アップデート情報の適用に成功すると更新結果画面が表示されます。 
7 . [戻る]をクリックする。 


ソフトウヱアアッブデート処理結果 


ファイアウォールメニュー画面に戻りま 
す。 


フアイアウオール 〉ソフトウェアアッブデート処理結果 


選択したソフトウエアのアツブデートが終了しました。 


Y^\ 


更新結果画面 


■ rE>n 


適用後すぐにシステ厶の再起動が必要な更新の場合は、更新結果画面（システム再起動時）が表 
示され、システムの再起動が自動的に行われます。再起動したら再度 Management Console に 
ログインしてください。 

なお、適用後すぐにシステムの再起動を必要とするアップデートは一度に1つのパッケージしか 
適用できません。複数のアップデート情報がある場合は、再度ソフトウェアアップデートの操 
作を行ってください。 

ソフトウェアアップデートに失敗した場合は、 エラー 画面が表示されます。 Express58 〇〇/ 
SG3 〇〇のソフトウェアの状態はアップデートを行う前の状態に戻ります。 
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万一の障害や災害に備え、管理者は Express 5800 / SG 300 に設定したファイアウォールの各 
種情報を定期的にバックアップする必要があります。必要な時に保存しておいたバックアッ 
プデータをリストアすれば、バックアップを取得した時点の状態に Express 5800 / SG 300 を 
戻すことができます。 


バックアップの取得 

バックアップには、ルールやグループ情報などのデータのバックアップを取得する方式と、 
ファイアウォール機能全体を通してのバックアップを取得する方式があります。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウオール]をクリックする。 

ファイアウォールメニュー画面が表示さ 
れます。 



2 . ファイアウオールメニューの「システムメ 
ンテナンス」から[バックアップ • リスト 
ア]をクリックする。 

バックアップ取得およびリストア画面が 
表示されます。 


フアイアウオール 


フアイアウオール 


[ヘルブ] 



ファイアウォールメニュー画面 


3. バックアップの方式を選択する。 

• データと設定 

ファイアウォール機能の各種設定 
ファイルとデータベース情報を取得 
します。 

• ファイアウォール機能全体 

「データと設定」で取得するバック 
アップデータに加えて、システムの 
基本設定を除くファイアウォールコ 
ンポーネントのバイナリを取得しま 
す。 


^データと設定 ルール やヴ ループな どの データ や、各種設定を対象とします 
r フ7ィァゥオール機能全体 ••• ファイアウォール機能すぺてを対象とします 



バックアップ • リストア画面 
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4. 「バックアップ名」を入力する。 

ここで入力した名前でバックアップデ- 
夕は保存されます。 



- ファイアウオール機能全体 
■ アツブロード 




バックアップ ■ リストア画面 


5. [保存]または[ダウンロード]をクリックす 

公 〇 

• 保存 

取得したバックアップデータを 
Express58 〇〇 /SG3 ◦◦上に保存しま 
す。 

• ダウン ロー ド 

取得したバックアップデータを管理 
者が操作する管理クライアント上に 
保存します。 

保存に成功すると、保存結果画面が表示 
されます。 




バックアップデータの取得に失敗した 
場合は、 エラー 内容を示す画面が表示 
されます。 



バックアップ.リストア画面 


6 . [バックアップ 
リックする。 


リストアに戻る]をク 


バックアツブ■リストア完了 


フ7イアウオール > バックアップ-1..1フト T > ) ックアッブ•リストア 完了 


データと酿のゾ bir ? ッブに成功しました， 


? ックアッ7リストアに]| 

A 


バックアップ■リストアに戻る 


バックアップ • リストア完了画面 
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バックアップのリストア 

必要な時にバックアップデータをリストアすることで、 Express 5800 / SG 30 〇をバックアツ 
プデータを取得した時点の状態に戻すことができます。 


1 .Management Console トツプ画面の左側 
に表示されるメニューアイコンから[ファ 
イアウォール]をクリツクする。 

「ファイアウォ _ ル」メニュー画面が表示 
されます。 



2 . 「ファイアウォール」メニューの「システム 
メンテナンス」から[バックアップ•リス 
トア]をクリックする。 

バックアップ取得およびリストア画面が 
表示されます。 


フアイアウオール 


フアイアウオール [ヘルブ] 



I パックア t ゴ•リストア I 

_ A 

バックアップ■リストア 


ファイアウォールメニュー画面 


3. リストアするバックアップデータを選択 
する。 


ファイアウォール ” ^ツクアツブ■リストア 


[ヘルブ] 


• データと設定 

ファイアウォール機能の各種設定 
ファイルとデータペース情報をリス 
トアします。 

參ファイアウォール機能全体 

「データと設定」で取得するバック 
アップデータに加えて、システムの 
基本設定を除くファイアウォールコ 
ンポーネントのバイナリをリストア 
します。 

• アップロ ード 

管理者が操作する管理クライアント 
上に保存したバックアップデータを 
リストアします。 


^データと設定…ルールやグループなどのデータや、各種設定を対象とします 
r フアイアウオール機能全体…ファイアウォール機能すべてを対象とします 


—保存| 

ダウンロート 


120030911131327 



バックアップ • リストア画面 
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バックアッブ•リストア 


4. 「データと設定」、「ファイアウォール機能 
全体」を選択した場合は、バックアップ 
データの名前をプルダウンメニューから 
選択し、「アップ□ー ド」を選択した場合 
は入カフィールドに入力することで、リ 
ストアするバックアップデータを指定す 

它) 〇 


入カフィールドに入力する場合、[参照] 
をクリックしてデータを指定すること 
もできます。 


管理クライアント上に取得したバック 
アップデータをリストアする場合は、 
「データと設定」に含まれるバックアッ 
プデータをリストアするか、「ファイア 
ウォール機能全体」に含まれるバック 
アップデータをリストアするのかは、 
Express 5800 /SG 300 が自動的に 
判別するため、指定する必要はありま 
せん。 


ファイアウォール 〉 ) ^ックアツブ•リストア 


トデータと酿 
| r ファイアウ: r 


:設定…ルールやヴルーゴなどのデータや、各種設定を対象とします 
ァイアウオール機能全体…ファィアゥオ'■ル機能すぺてを対象とします 

-保存 I 

ダウンロード I 


) 5ックアッブ名厂 



5. [実行]をクリックする。 

バックアップデータのリストアが実行さ 
れ完了すると、リストア結果画面が表示 
されます。 


リストアに失敗した場合は、エラー内 
容を示す画面を表示します。 


バックアツブ■リストア 


ファイアウォール 〉;^ックアツブ•リストア 


「タデータと酿 
| r ファイアウオ、 


:設定…ルールやヴルーゴなどのデータや、各種設定を対象とします 
ール機能全体…ファイアウォ-ル機能すぺてを対象とします 

--保存 j 

ダウンロード| 


) ^ックアッブ名「 


^フアイアウオール機能全体 120030911131338 J 

，アツブロード 


益 


バックアップ.リストア画面 


6. [バックアップ 
リックする。 


リストアに戻る]をク 


バックアツブ■リストア完了 


ファイアウォール > バックアツブ•リストア > / レンクアッブ■リストア完了 


データと設定のリストア(挪ルました。 

パックアップ•リストアに戻る^^ 


人 


バックアップ■リストアに戻る 


バックアップ. リストア完了画面 
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ユーザ認証 

ここでは、ユーザが端末から Express 5800 / SG 300 を越えて通信を行う場合のユーザ認証について説明し 
ます。 


ユーザ認証 . Express 5800 / SG 300を利用してネットワーク 

にアクセスするユーザの管理を行うことができま 
す。 

ユーザパスワードの変更 . ユーザが認証時のパスワードを変更することがで 

きます。パスワードを変更すると Express 5800/ 
SG 300が管理するユーザ情報の内容も更新されま 
す。 


ユーザ認証 


かんたん設定ウィザードまたは認証設定で「ユーザ認証を利用する」と設定した場合、ユーザ 
認証機能を利用できるようになります。ユーザ認証機能を利用した場合、ユーザごとのアク 
セス制御が可能になります。かんたん設定ウィザードについては、89ページの「かんたん設 
定ウィザード」を、「認証設定」については225ページを参照してください。ここでは、ユー 
ザの□グイン操作について説明します。 

1. ブラウザで、 Express5800/SG3 ◦◦が持つ IP アドレスを、 「https://」 に続けて指定する。 

かんたん設定の「ユーザ認証の利用の設定」で、「内部ネットワークからのみ許可する」を選択し 
ている場合は、 Express 5800 /SG300 が持つ内部ネットワークに属する IP アドレスを指定する必 
要があります。またこの場合、アクセス元は内部ネットワークからである必要があります。 

2. 上記 URL に続けてユーザ認証のウェブのポート番号を指定する。 

このポート番号は、かんたん設定ウィザードで設定したものを指定します。 

例） https:// 202.247 .5.1 26:443 


ポート番号 

外部インタフェースの IP アドレス 


■LI22Q 

ポート番号が443番（デフォルト設定）の場合は、番号を省略することが可能です。 
ユーザ□グイン画面が表示されます。 
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3. 画面に従い「ユーザ ID」、 「パスワード」を 
入力し、[□グイン]ボタンをクリックす 

公 〇 

認証要求が Express58 〇〇 /SG3 〇〇に送ら 
れ、 Express 580 0/SG 300は自身が管理 
するユーザ情報と照らし合わせて、正し 
いユーザによる□グインであるか認証し 
ます。 


' ユーザ ID ]| 

バスワード f 


」ハ ^！ IT 


ユーザ ID 

1' 


バスワード 

厂 



ロヴィン| 

パスワード変更| 


ユーザ□グイン画面 


4. 正しいユーザであることが認証される 
と、ユーザ□グイン成功画面が表示され 

公 〇 


I チェック] 


.ー ザログイン> ログイン結果 


下記ユーザのログイン cmebu ました。 
和拥できるサ ー tf スが追れました， 


ユーザロヴインに戻る 


ユーザ□グイン成功画面 


誤ったユーザ ID、 またはパスワードを 
送信した場合は、認証が失敗したこと 
を示す画面が表示されます。認証に繰 
り返し失敗したユーザアカウントは、 
自動的に ロック アウトします。許容す 
る単位時間あたりの失敗回数、および 
ロック アウトの継続時間については、 
227 ぺ-ジ の 「ロック アウト設定」を参 
照してください。 


ユーザが所属するグループのルールが設定されている場合、ユーザ□グインに成功すると、グ 
ループルールが有効化されます。有効化されたルールは、そのユーザのセッションが終了した 
としても、そのルールに定められた有効期限の間、適用されたままとなります。 
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ユーザパスワードの変更 


ユーザ□グイン画面からパスワードを変更することができます。ここでは、ユーザが各自の 
パスワードを変更する操作について説明します。 


1.URL およびポート番号を指定し、ユーザ□グイン画面を表示させる。 


2. ユーザ ID、 パスワードを入力し、[パス 
ワード変更]をクリックする。 

ユーザパスワード変更画面が表示されま 
す。 



ユーザ □グイン画面 


3. 「パスワード」、「再パスワード」に新しい 
パスワードを入力し、[更新]をクリック 
する。 


Express 580 0/SG3 〇〇が新しいパスワー 
ドデータを受け取ると、管理している 
ユーザ情報において該当ユーザのパス 
ワード情報の更新を行います。パスワー 
ドの変更に成功した場合は、ユーザの端 
末にパスワード変更成功画面を表示しま 
す。 

ユーザパスワード変更画面 

パスワード変更に失敗した場合は、変 
更に失敗したことを示す画面を表示し 
ます。 


バスワード ||" 

再バスワード [ f " 


更新I 

更新] 


4. [ユーザ□グインに戻る]をクリックす 
る。 

ユーザ□グイン画面が表示されます。新 
しいパスワードで□グインしてくださ 
い0 


ユーザバスワード変更結果 



パスワード変更成功画面 
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